图解网络介绍

计算机科学领域的任何问题都可以通过增加一个间接的中间层来解决，计算机整个体系从上到下都是按照严格的层次结构设计的。

网络攻击

• IP 欺骗：一种伪造某台主机的 IP 地址的技术。
• 可以通过入口过滤的方式进行缓解。

DDoS

Distributive Denial of Service，分布式拒绝服务：通过耗尽服务器资源，致使服务器无法传输合法流量

SYN Flood

最经典的 DDoS

• 客户端发送海量的变源 IP 地址或者变源端口的 TCP SYN 报文，服务器生成大量半连接，耗尽资源而无法提供正常服务
• 通过提升性能很难抵御，最重要判定出恶意请求，封禁 IP
• 三种方式：
  • 直接攻击：不伪造 IP，单一真实 IP，很少见，只要封禁恶意 IP 即可。
  • 欺骗攻击：伪造 IP 地址攻击，自我检测很难，但是可以通过 ISP（服务提供商）解决，他们容易追溯。
  • 分布式攻击：使用僵尸网络发起攻击，僵尸网络还能伪造 IP。（如 Mirai 僵尸网络）
• 缓解方式：
  • 接收到 SYN 报文不直接分配 TCP 资源，只是打开一个半开的套接字，会返回
  • 开启 tcp_syncookies：不需要使用 SYN 半连接队列建立连接
    • SYN 队列满之后，收到 SYN 包，计算出一个 cookie 并放入第二次握手报文的序列号
    • 服务端收到客户端的 ACK 包，如果合法，直接将该连接放入 Accept 队列中

UDP Flood

• 将大量的 UDP 数据包发送到目标服务器，导致过载儿拒绝服务合法流量
• 服务器收到 UDP，会先检查有无进程监听
  • 没有，响应 ICMP 包通知发送方不可达
  • 这个过程会需要系统资源，过量的处理会耗尽。
• 缓解：
  • 限制 ICMP 响应速率

HTTP Flood

• 通过大量请求冲垮服务器，这个很难区分恶意和正常流量
• 分为 HTTP GET 请求和 HTTP POST 请求
• 缓解：
  • 对发出请求的设备实时质询，确定是否真人（如 CAPTCHA）
  • Web 应用程序防火墙（WAF）：管理有效的 IP 数据库以追踪和有选择的阻止恶意流量。（Cloudflare）

DNS Flood

• 攻击者通过大量流量淹没 DNS 服务器，使得抵御 DNS 解析失效。

NTP Flood

CC 攻击

ICMP Flood

应对方法

• 高防服务器：独立硬防御 50 Gbps 以上的服务器，绑网站拒绝服务攻击，定期扫描网络主节点（贵））
• 黑名单：封禁 IP
• DDos 清洗：对用户请求数据实时监控，对于异常流量进行拒绝。

TCP 重置攻击

• 攻击者向通信的双方或者一方发送伪造的 TCP RST 报文，中断连接。
• 对于短连接无效（本身就很快结束），对长连接印象很大。