手机版

Citrix Netscaler技术方案建议书(9)

发布时间:2021-06-07   来源:未知    
字号:

3.3. 利用DDOS防范功能确保了网站的安全

在本项目中,我们使用NetScaler 9010 系统的SYN cookies 原理来防范SYN FLOOD攻击。

Cookies被发送到发送请求的用户端,该初始会话状态没有被保留在NetScaler 9010 系统上。正因如此,NetScaler 9010没有为该会话分配内存,正常的由合法的用户发出的TCP连接并不会被终结。NetScaler 9010 系统在收到非HTTP流量的最终ACK包或者收到HTTP流量的HTTP请求包时才为连接分配内存。 正因如此,在多次项目的实施过程中的若干次压力测试下,NetScaler 9010系统可以达到非常高的SYN处理能力(达到2M SYN/SEC)。

NetScaler 9010系统的SYN cookie 机制确保了以下几点:

NetScaler 9010 系统的内存不会浪费在非法的SYN包上,实际上,内存只被用来向合法用户提供服务。

合法用户的普通的TCP对话可以无终断的得到服务,就算系统在SYN FLOOD攻击下也是如此。

正由于内存只在收到HTTP请求后才予以分配给连接, NetScaler 9010 系统使得客户系统的WEB站点避免受到了 “空闲连接” 攻击。 此外,NetScaler 9010系统还能有效的防范7层 DOS 攻击。

一般来讲,有两种类型的7层 HTTP DOS攻击: GET攻击以及 IDLE攻击。 对于GET攻击,黑客在一个连接建立后发出非常多的GET请求。 对于IDLE攻击,攻击者在连接建立后恶意停止一切活动而空闲等待。

NetScaler 9010系统在处理时,当连入的SESSION速率达到一个预先设定的门限值时,DOS防卫功能就自动触发。 NetScaler 9010系统会抽样对一部分客户端请求发送带有SET-COOKIE的响应。 恶意攻击主机通常不会响应SET-COOKIE,所以这些攻击包就会被丢弃。 而普通正常的HTTP请求不会受到影响。 这个触发的门限值以及发送SET-COOKIE的比例值可以针对每个服务来精细微调。 并且,由上所述,连接不会在第一个GET请求到达前建立。所以NetScaler 9010系统也可以有效的防止IDLE攻击。

Citrix Netscaler技术方案建议书(9).doc 将本文的Word文档下载到电脑,方便复制、编辑、收藏和打印
×
二维码
× 游客快捷下载通道(下载后可以自由复制和排版)
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
注:下载文档有可能出现无法下载或内容有问题,请联系客服协助您处理。
× 常见问题(客服时间:周一到周五 9:30-18:00)