这是 SYN 洪水攻击的基本机制:向连接流中添加大量虚假连接,以耗尽服务器。Squarespace 以多种方式抵御此类攻击。我们为边缘堆栈启用了 SYN cookie:这是一项内核功能,允许服务器在不分配任何状态的情况下做出响应。Squarespace 的自动缓解系统还会分析传入的数据包并根据这些数据动态阻止连接。仔细调整我们的缓解系统至关重要:无法阻止恶意连接将导致我们的边缘过载并阻止我们响应真正的用户请求。
互联网上的披萨外卖恶作剧
另一种常见的攻击是容量攻击。狡猾而聪明的攻 厄瓜多尔 whatsapp 号码数据 5 万 击者可能会向您的服务器每秒发送超过 1TB 的数据。攻击者通常无法仅使用他们控制的服务器来生成这么多的数据。攻击者反而依靠“反射”,这是一种放大攻击者可以发送给目标的网络流量的过程。反射与 SYN 泛洪一样,依赖于互联网协议的可信程度。DNS 反射是一种非常常见的反射攻击,因此我们将使用它来介绍此类攻击的工作机制。
DNS,即域名系统,是互联网基础设施的重要组成部分。DNS 存储的信息包括哪个服务器托管“squarespace.com”以及将“@yahoo.com”电子邮件地址的电子邮件发送到哪里。按照互联网标准,这是一个相对较旧的系统,并通过UDP接受请求。UDP 不需要建立连接,这是使 DNS 反射攻击成为可能的核心,也是为什么这种攻击就像互联网上的披萨外卖恶作剧。
万圣节快要结束了,当地的几个恶作剧者想再搞点乐子。他们决定搞一个经典的披萨外卖恶作剧,大致流程如下:
一个恶作剧者打电话给当地一家披萨店,声称自己的地址不同于自己的地址:这是他们的目标的地址。
恶作剧者继续下大订单;比如说,50 个加多奶酪的大号披萨。
披萨店制作出美味的披萨并尽职尽责地将它们送到恶作剧者列出的虚假地址。
