概述
DDos攻击,即分布式拒绝服务
DDos攻击的原理
它是利用TCP连接三次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,服务被正常用户访问。
如何防御DDos攻击
- 充分利用网络设备保护网络资源,比如路由器限制SYN/ICMP的最大流量,防火墙限制特定IP,过滤攻击时伪造的大量虚假内部IP(Internet内部保留的区域性IP地址),启用防火墙的防DDos属性
- 服务器自身定期扫描安全漏洞,升级补丁,关闭不必要的服务,限制最大SYN半连接数目,缩短SYN半连接time out时间等
参考链接