高防服务器为了进步发送攻击恳求的效率,大多数的攻击方法都会只发送攻击恳求,而不吸收服务器响应的数据,或者无法完整懂得和处理响应数据。因此,如果能够对恳求起源进行交互式验证,就可以检查恳求起源协议实现的完整性。对于协议实现不完整的恳求起源,通常可以将其作为攻击主机丢奔其发送的数据。
在DNS解析的过程中,如果域名解析恳求获得的响应数据中 Flags字段的 Truncated位被置位,通常客户端就会应用T℃P53端口重新发送域名解析恳求(见图1)。
而攻击者应用的攻击工具由于不吸收或不处懂得析恳求的响应数据也就不会应用TCP53端口进行重新连接。流量清洗设备可以利用这个差别来有效地区分合法用户与攻击者,拦阻恶意的DNS攻击恳求(见图2)。
对于供给HIIP服务的Web服务器,也可以应用类似的方法进行协议完整性验证。例如,可以应用HTTP协议中的302重定向来验证恳求的起源是不是吸收了响应数据并完整实现了HTTP协议的功效。HIIP的302状态码表现被恳求的资源被临时转移,并会给出一个转移后的地址。正常的合法用户在吸收到302重定向后会顺着跳转地址寻找对应的资源(见图3)。
而攻击者的攻击工具由于不吸收或不处理响应数据,则不会进行跳转,因此攻击恳求会被清洗设备拦阻,Web服务器不会受到任何影响(见图4)。
