@不喜丶不悲
2年前 提问
1个回答

预防TCP三次握手型洪水攻击的措施有哪些

X0_0X
2年前

预防TCP三次握手型洪水攻击的措施有以下这些:

  • 建墙:我们让一个单独的服务器处理TCP的连接,只有真正建立起三次握手的申请才会被转移到真正提供服务的服务器上。

  • 监控:由于伪造ip是无法通过三次握手的,因此它们的连接都是半连接。我们可以把半连接的请求放在一个队列中,当队列满了,就会按照先进先出的原则判断队列中的请求是否已经是全连接的,如果是,则踢出队列;如果仍然是半连接状态,我们可以将其视为恶意ip,释放这些连接,并踢出队列。

  • 黑名单:这个方法可能不太奏效,因为ip是伪造的,所以即使封禁这些ip地址可能起到的作用不是很大。但是也算是一种解决方法。

  • 超时释放:每一个连接超过一定的时长,不管是因为任何原因都会直接放弃对其的连接。

  • 设置重复回应次数:比如我要维持可靠连接,就要不断发送确认请求的报文。这时候可以设置重复确认的次数,超过这个次数则释放连接。

  • 建立队列:控制访问流量,超出的流量禁止访问。好处是服务不会崩溃,坏处是可能阻挡大量正常访问。

  • 三秒防刷:在三秒钟内,每一个ip只能访问一次。好处是对每个ip平等对待,坏处是当大量ip访问导致服务器不能正常运行,正常ip再次访问会被限制。