高防服務器主要是指IDC領域的IDC機房或者線路有防御DDOS能力的服務器。主要是比普通服 武器多了防御服務，一般都是在機房出口架設了專門的硬件防火墻設備以及流量清洗牽引設備等， 用來防御常見的CC攻擊,DDOS，SYN攻擊。

高防服務器屬于IDC的服務器產品的一種，根據各個IDC機房的環境不同，有的提供有硬防，有的使用軟防。簡單來說，就是能夠幫助網站拒絕服務攻擊，并且定時掃描現有的網絡主節點，查找可能存在的安全漏洞的服務器類型，包括WAF(Web Application Firewall)防御，都可定義為高防服務器。

硬防和軟防

在選擇高防服務器的時候，要先了解防御類型和防御大小。防火墻是介于內部網和外部網之間、專用網和公共網之間的一種保護屏障，防火墻分為兩種：一種是軟件防火墻、另一種是硬件防火墻。

1、軟件防火墻：軟件防火墻是寄生于操作平臺上的，軟件防火墻是通過軟件去實現隔離內部網與外部網之間的一種保護屏障。

2、硬件防火墻：硬件防火墻是鑲嵌系統內的，硬件防火墻是由軟件和硬件結合而生成的，硬件防火墻從性能方面和防御方面都要比軟件防火墻要好。

流量牽引

其次是流量牽引技術，這是一種新型的防御，它能把正常流量和攻擊流量區分開，把帶有攻擊的流量牽引到有防御DDOS、CC等攻擊的設備上去，把流量攻擊的方向牽引到其它設備上去而不是選擇自身去硬抗。

攻擊分類

從防御范圍來看，高防服務器能夠對SYN、UDP、ICMP、HTTP GET等各類DDoS攻擊進行防護，并且能針對部分特殊安全要求的web用戶提供CC攻擊動態防御。一般情況下，基于包過濾的防火墻只能分析每個數據包，或者有限的分析數據連接建立的狀態，防護SYN或者變種的SYN、ACK攻擊效果不錯,但是不能從根本上來分析tcp或者udp協議。

SYN

SYN變種攻擊發送偽造源IP的SYN數據包但是數據包不是64字節而是上千字節這種攻擊會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內存的同時還會堵塞帶寬。TCP混亂數據包攻擊發送偽造源IP的 TCP數據包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火墻處理錯誤鎖死，消耗服務器CPU內存的同時還會堵塞帶寬。

UDP

針對用UDP協議的攻擊很多聊天室，視頻音頻軟件，都是通過UDP數據包傳輸的，攻擊者針對分析要攻擊的網絡軟件協議，發送和正常數據一樣的數據包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數據包的特征碼防護，但是這樣會造成正常的數據包也會被攔截，針對WEB Server的多連接攻擊通過控制大量肉雞同時連接訪問網站，造成網站無法處理癱瘓。由于這種攻擊和正常訪問網站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數來防護，但是這樣會造成正常用戶稍微多打開幾次網站也會被封，針對WEB Server的變種攻擊通過控制大量肉雞同時連接訪問網站，一點連接建立就不斷開，一直發送發送一些特殊的GET訪問請求造成網站數據庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護。

攻擊解析

SYN攻擊屬于DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。TCP協議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數據傳輸過程數據完整有效。所以TCP協議采用三次握手建立一個連接。

第一次握手：建立連接時，客戶端發送syn包到服務器，并進入SYN_SEND狀態，等待服務器確認；

第二次握手：服務器收到syn包，必須確認客戶的SYN 同時自己也發送一個SYN包 即SYN+ACK包，此時服務器進入SYN_RECV狀態；

第三次握手：客戶端收到服務器的SYN+ACK包，向服務器發送確認包ACK此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。

假設一個用戶向服務器發送了SYN報文后突然死機或掉線，那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度稱為SYN Timeout，一般來說這個時間是分鐘的數量級（大約為30秒-2分鐘）；一個用戶出現異常導致服務器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大，最后的結果往往是堆棧已經崩潰---即使服務器端的系統足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從正常客戶的角度看來，服務器失去響應，這種情況稱做：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）。

當前名稱：什么是高防服務器？網絡攻擊有哪幾種類型？
本文鏈接：http://m.newbst.com/hangye/fwqtg/n7787.html

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯