|
|
发表于 2009-3-9 19:19:20
|
显示全部楼层
原帖由 ahu 于 2009-3-9 18:18 发表 
那它就不会把防火墙握着不放? 防火墙就不会被老占着? 要是把防火墙线路堵塞了不也一样嘛?
抱歉问的有点幼稚,只是实在是不了解! 呵呵给扫扫盲!
不是说过”给他30秒的时间自己领悟一下“吗,过30秒了丫还不放手俺就喊保安了。因此,一个握手主动结束。
DDOS的关键在于tcp/ip协议的握手。
再给你形象点,你隔着墙,喊hello,哪我就眼瞅过去,谁在喊啊?然后我看到你了,我也喊hello,这算第一步对吧?
哪DDOS就是隔着墙喊hello,我眼瞅过去发现没人!因为IP是假的,但是我不知道啊,我就等啊。
如果你搞个啥喇叭之类的,对我在无数个访问喊hello,哪我就要超无数个地方看过去,期待握手。但是因为这些地方都是假的,哪我只好等到超时了后再放弃。要不我这sesssion太多,一个seesion就一味着要用内存和cpu处理不是?
所以,把超时时间放短也是处理DDOS的重要手段之一。比如以前30秒,我现在修改成3秒,哪我在单位时间内可以处理更多。但是有些人他不是恶意的,比如他在阿富汗,时间需要15秒了,结果我就这点耐心,就看3秒,哪这些网络质量不是很好的访问者就被拒之门外了。
大量的DDOS就会出现你刚才说的堵塞问题,为啥叫做DDOS呢?DOS是拒绝攻击,DDOS是分布式拒绝攻击,也就是说有人掌握N台机器,然后集体DOS.
堵塞也要有堵塞的方法对不?比如UDP洪水,比如ICMP洪水。但是这些都比较好解决,因为这些攻击都有有源头的,在边缘路由器上(比如电信哪边)将此IP屏蔽掉就行了。但是DOS就很难了,因为src是伪造的,哪很难判断出来源头在哪里。除非一条线路上所有路由器的机构都能和你配合,大家一起查。 |
评分
-
查看全部评分
|
狗仔卡
发表于 2009-3-9 08:16:36
恢复卡