1.DDOS攻擊:大量的肉雞對服務器的不同端口發送巨型流量的UDP報文,無法通關關閉端口的方式來進行隔離,破壞力極強,嚴重會造成服務器當機。
SYN/ACK Flood攻擊:經典最有效的DDOS方法。
主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態
對TCP餓死的應對方案
1.增加帶寬,堵死了再買
2.CDN,各地部署子服務器,當子服務遭受到攻擊時,其他地區的服務器和主服務器不會受到影響。
3.BGP流量清洗,通過BGP將通道內的無用UDP報文清洗干凈再轉給服務器