高防云主机可以抵挡的攻击有哪几种

高防云主机可以抵挡的攻击有哪几种

高防云主机可以抵挡的攻击有：1、高仿云主机可以抵挡带宽消耗攻击，如TCP洪水攻击，UDP和ICMP洪流攻击等；2、高仿云主机可以抵挡系统资源消耗攻击，如TCP SYN攻击、TCP PSH+ACK攻击、畸形报文攻击等。

下面是详细介绍：

1、带宽消耗攻击

DDoS带宽消耗攻击主要为直接洪流攻击，它利用了攻击方的资源优势，当大量代理发出的攻击流量会聚于目标对象时，足以耗尽其网络接入带宽。常见的带宽消耗攻击类型包括：TCP洪水攻击，UDP和ICMP洪流攻击，三者可以单独使用，也可同时使用。

据研究统计，大多数DDoS攻击通过TCP洪流攻击实现。TCP洪水攻击是一种利用TCP协议缺点，使用假冒IP或IP号段发送海量捏造的连接要求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。由于TCP协议是许多重要利用层服务的基础，所以极大可能对服务器的性能造成致命影响。

UDP洪水攻击是一种日渐猖厥的流量型DoS攻击，常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器，100kbps的UDP洪水攻击常常将线路上的骨干装备例如防火墙打瘫，造成全部网段的瘫痪。因此，有时连接到受害系统周边网络的主机也会遭受网络连接问题。

ICMP洪流攻击就是通过代理向受害主机发送大量“ping”报文，这些报文涌向目标并使其回应报文，二者和起来的流量将使受害者主机网络带宽饱和，造成谢绝服务，ping/smurf攻击软件都是典型基于ICMP协议的攻击软件，当出现ICMP洪流攻击的时候，只要制止ping就好了。

2、系统资源消耗攻击

DDoS系统资源消耗攻击包括歹意误用TCP/IP协议通讯(TCP SYN攻击与TCP PSH+ACK攻击)和畸形报文攻击两种方式，二者都能起到占用系统资源的效果。

SYN攻击是利用TCP协议缺点，通过发送大量半连接要求以耗费CPU和内存资源，除影响主机外，还可能危害路由器、防火墙等网络系统。在DDoS方式下，其攻击强度得到了成百上千倍的增加。SYN攻击不能被完全禁止，只能通过加固TCP/IP协议栈、部署防火墙/路由器等过滤网关加以防御，以尽可能减轻危害。

TCP PUSH+ACK 攻击与TCP SYN攻击一样，目的在于耗尽受害系统的资源。当代理向受害主机发送PSH和ACK标志设为1的TCP报文时，将使接收系统清除所有TCP缓冲数据，并回应一个确认消息。如果这一进程被大量重复，系统将没法处理大量的流入报文，造成服务崩溃。

畸形报文攻击，指攻击者指使代理向受害主机发送有缺点的IP报文，使得目标系统在处理这样的IP包时会出现崩溃，给目标系统带来损失。主要的畸形报文攻击如Ping of Death(发送超大尺寸ICMP报文)Teardrop(利用IP包碎片攻击)、畸形TCP报文、 IP-fragment攻击等。

利用层攻击，它针对特定的利用/服务缓慢地耗尽利用层上的资源。利用层攻击在低流量速率下十分有效，从协议角度看，攻击中触及的流量多是合法的。这使得利用层攻击比其他类型的DDoS攻击更加难以检测。HTTP洪水、CC攻击、DNS攻击等都是利用层攻击的实例。

HTTP 洪水是利用看似合法的HTTP GET或POST 要求攻击网页服务器或利用，通常使用僵尸网络进行。僵尸网络是通过将大量主机感染bot程序病毒所构成的一对多的控制网络，黑客可以控制这些僵尸网络集中发动对目标主机的谢绝服务攻击，这使得HTTP洪水攻击很难被检测和拦截。

CC攻击则基于页面攻击的，摹拟许多用户不中断的对服务器进行访问，并且攻击对象常常是服务器上开消比较大的动态页面，触及到数据库访问操作。由于使用代理作为攻击发出发点，具有很强的隐蔽性，系统很难辨别是正常的用户操作或歹意流量，进而造成数据库及其连接池负载太高，没法响应正常要求。

DNS攻击主要有两种情势，一是通过发起大量的DNS要求，致使DNS服务器没法响应正经常使用户的要求;二是通过发起大量捏造的DNS回应包，致使DNS服务器带宽堵塞;两种方式都将致使正经常使用户不能解析DNS，从而不能获得服务。