- 2023-01-10
- 阅读()
- 来源:互联数据
随着网络攻击方式同质化越来越严重,防御也得更新,例如ACK Flooding服务器攻击,是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。
说人话就是:ACK 洪水攻击者试图用 TCP ACK 数据包使服务器过载。就像你女友跟你煲电话粥,你妈是打不进一样占线。类似 DDoS 攻击一样,ACK 洪水的目的是通过使用垃圾数据来减慢攻击目标的速度或使其崩溃,从而导致拒绝向其他用户提供服务。目标服务器被迫处理接收到的每个 ACK 数据包,消耗太多计算能力,以致无法为合法用户提供服务。
ACK攻击服务器防护方案:http://www.hkt4.com/ddos/large.html
一、ACK 洪水攻击如何攻击服务器?
ack flood攻击是TCP连接建立之后,所有传输的TCP报文都是带有ACK标志位的数据包。
接收端在收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如在检查中发现数据包不合法,如所指向的目的端口未开放,则操作系统协议栈会回应RST包告诉对方此端口不存在。
此时服务器要做两个动作,查表和回应ack/rst。
这种攻击方式没有syn flood给服务器带来的冲击大(因为syn flood占用连接),此类攻击一定要用大流量ack小包冲击才会对服务器造成影响。
根据tcp协议栈原理,随机源IP的ack小包应该会被server很快丢弃,因为在服务器的tcp堆栈中没有这些ack包的状态信息。在实际测试中发现有一些tcp服务对ack flood比较敏感。
对于Apache或者IIS来说,几十kpps的ack flood不会构成威胁,但更高数量的ack flood冲击会造成网卡中断频率过高负载过重而停止响应。
jsp server在数量不多的ack小包冲击下jsp server很难处理正常的连接请求。所以ack flood不仅危害路由器等网络设备,并且对服务器上的应用也有很大的影响。
ACK 洪水以需要处理收到的每个数据包的设备为目标。防火墙和服务器最有可能成为 ACK 攻击的目标。负载均衡器、路由器和交换机不容易遭受这些攻击。
合法和非法 ACK 数据包看起来基本相同,因此,如果不使用内容分发网络 (CDN) 过滤掉不必要的 ACK 数据包,就很难阻止 ACK 洪水。尽管看起来很相似,但用于 ACK DDoS 攻击的数据包并不包含数据本身数据包的主要部分,也称为有效负载。为了显得合法,它们仅需在 TCP 标头中包含 ACK 标志。
ACK 洪水是第 4 层(传输层)DDoS 攻击。了解第 4 层和 OSI 模型。
二、服务器遭受ACK攻击的危害
attacker利用僵尸网络发送大量的ack报文,会导致以下三种危害:
1.带有超大载荷的ack flood攻击,会导致链路拥塞。
2.攻击报文到达服务器导致处理性能耗尽,从而拒绝正常服务。
3.极高速率的变源变端口ack flood攻击,很容易导致依靠会话转发的设备转发性能降低甚至成网络瘫痪。
三、如何阻止 ACK 洪水 DDoS 攻击?
目前防御ACK的最好方法是高防CDN ,高防CDN代理往返于 Cloudflare 客户的源站服务器的所有流量。CDN 不会传递与开放 TCP 连接无关的任何 ACK 数据包。这样可以确保恶意 ACK 流量不会到达源站服务器。由数据中心组成的 CDN 网络的规模足够大,足以吸收几乎任何规模的 DDoS 攻击,因此 ACK 洪水对 高防CDN 几乎没有影响。
这下大家知道ACK的攻击原理与危害了吧,更多内容可以随时跟互联数据运维沟通。互联数据专业提供云计算服务、DDOS防护、网络安全服务、数据中心托管出租等业务。互联数据先后研发了网络攻击防御平台、DDOS运营商级网络防火墙、攻击指纹识别系统等核心系统设备,在安全领域拥有多项核心专利,为用户上网之旅保驾护航。