【正文】 于使用。 　　天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核，X86架構(gòu)，現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗synflood功能，實(shí)際應(yīng)該是syncache/syncookie的改進(jìn)或加強(qiáng)版。實(shí)際測試syn流量64B包抵抗極限大概是25M左右。當(dāng)小于20M是還是可以看到效果的。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。 　　一己拙見： 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好，當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說，買個防火墻同時兼有簡單的抗syn功能倒也不錯。 　　、其他防御措施 　　 以上幾條對抗DDOS建議，適合絕大多數(shù)擁有自己主機(jī)的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要購買七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。 DDOS攻擊的目的 駭客一般都出于商業(yè)目的，比如有人雇傭駭客對一個網(wǎng)站進(jìn)行攻擊，事后給錢；不過如果該網(wǎng)站報(bào)警后被查出來幕后黑手的話，那么駭客和這位雇傭駭客的幕后黑手將受到法律嚴(yán)懲！但是通過肉雞攻擊的ddos一般在雇傭攻擊的情況下則比較難查，因?yàn)槎际菍I(yè)駭客。 　　 主要幾個攻擊類型： TCP全連接攻擊和SYN攻擊不同，它是用合法并完整的連接攻擊對方，SYN攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請求，防火墻一般都無法過濾掉這種攻擊，這種攻擊在現(xiàn)在的DDOS軟件中非常常見，有UDP碎片還有SYN洪水，甚至還有TCP洪水攻擊，這些攻擊都是針對服務(wù)器的常見流量攻擊 　　:2900 :80 ESTABLISHED 　　:2901 :80 ESTABLISHED 　　:2902 :80 ESTABLISHED 　　:2903 :80 ESTABLISHED 　　 全連接攻擊，通過大量完整的TCP鏈接就有可能讓服務(wù)器的80端口無法訪問。 　　SYN變種攻擊：發(fā)送偽造源IP的SYN數(shù)據(jù)包，但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)，這種攻擊會造成一些防火墻處理錯誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。 TCP混亂數(shù)據(jù)包攻擊　　發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn,ack,syn+ack,syn+rst等等，會造成一些防火墻處理錯誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。 用UDP協(xié)議的攻擊　　很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)模粽哚槍Ψ治鲆舻木W(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護(hù)，一般防護(hù)墻通過攔截攻擊數(shù)據(jù)包的特征碼防護(hù)，但是這樣會造成正常的數(shù)據(jù)包也會被攔截。 WEB Server多連接攻擊　　通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護(hù)，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封。 WEB Server變種攻擊　　通過控制大量肉雞同時連接訪問網(wǎng)站，一點(diǎn)連接建立就不斷開，一直發(fā)送一些特殊的GET訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費(fèi)大量的CPU,這樣通過限制每個連接過來的IP連接數(shù)就失效了，因?yàn)槊總€肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護(hù)，后面給大家介紹防火墻的解決方案。 WEB Server變種攻擊　　通過控制大量肉雞同時連接網(wǎng)站端口，但是不發(fā)送GET請求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是GET字符然后來進(jìn)行協(xié)議的分析，這種攻擊，不發(fā)送GET請求就可以繞過防火墻到達(dá)服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會超過10M 所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護(hù)，因?yàn)槿绻缓唵蔚臄r截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包，會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問，后面給大家介紹防火墻的解決方案。 針對游戲服務(wù)器的攻擊　　因?yàn)橛螒蚍?wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000,人物選擇端口7100，以及游戲運(yùn)行端口7200,7300,7400等，因?yàn)橛螒蜃约旱膮f(xié)議設(shè)計(jì)的非常復(fù)雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進(jìn)行自動注冊、登陸、建立人物、進(jìn)入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。 　　以上介紹的幾種最常見的攻擊也是比較難防護(hù)的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯，但是不能從根本上來分析TCP,UDP協(xié)議，和針對應(yīng)用層的協(xié)議，比如,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護(hù)新型的攻擊。 SYN Flood攻擊SYNFlood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。這種攻擊早在1996年就被發(fā)現(xiàn)，但至今仍然顯示出強(qiáng)大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回復(fù)。例如，攻擊者首先偽造地址對服務(wù)器發(fā)起SYN請求（我可以建立連接嗎？），服務(wù)器就會回應(yīng)一個ACK+SYN（可以+請確認(rèn)）。而真實(shí)的IP會認(rèn)為，我沒有發(fā)送請求，不作回應(yīng)。服務(wù)器沒有收到回應(yīng)，會重試35次并且等待一個SYN Time（一般30秒2分鐘）后，丟棄這個連接。如果攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)器端將會消耗非常多的資源來處理這種半連接，保存遍歷會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進(jìn)行SYN+ACK的重試。最后的結(jié)果是服務(wù)器無暇理睬正常的連接請求—拒絕服務(wù)。在服務(wù)器上用netstat –an命令查看SYN_RECV狀態(tài)的話，就可以看到：如果我們抓包來看：通過上圖可以看到大量的SYN包沒有ACK回應(yīng)。 SYN Flood防護(hù)178。目前市面上有些防火墻具有SYN Proxy功能，這種方法一般是定每秒通過指定對象（目標(biāo)地址和端口、僅目標(biāo)地址或僅源地址）的SYN片段數(shù)的閥值，當(dāng)來自相同源地址或發(fā)往相同目標(biāo)地址的SYN片段數(shù)達(dá)到這些閥值之一時，防火墻就開始截取連接請求和代理回復(fù)SYN/ACK片段，并將不完全的連接請求存儲到連接隊(duì)列中直到連接完成或請求超時。當(dāng)防火墻中代理連接的隊(duì)列被填滿時，防火墻拒絕來自相同安全區(qū)域（zone）中所有地址的新SYN片段，避免網(wǎng)絡(luò)主機(jī)遭受不完整的三次握手的攻擊。但是，這種方法在攻擊流量較大的時候，連接出現(xiàn)較大的延遲，網(wǎng)絡(luò)的負(fù)載較高，很多情況下反而成為整個網(wǎng)絡(luò)的瓶頸；178。Random Drop：隨機(jī)丟包的方式雖然可以減輕服務(wù)器的負(fù)載，但是正常連接的成功率也會降低很多；178。特征匹配：IPS上會常用的手段，在攻擊發(fā)生的當(dāng)時統(tǒng)計(jì)攻擊報(bào)文的特征，定義特征庫，例如過濾不帶TCP Options 的syn 包等；178。早期攻擊工具（例如synkiller，xdos，hgod等）通常是發(fā)送64字節(jié)的TCP SYN報(bào)文，而主機(jī)操作系統(tǒng)在發(fā)起TCP連接請求時發(fā)送SYN 報(bào)文是大于64字節(jié)的。因此可以在關(guān)鍵節(jié)點(diǎn)上設(shè)置策略過濾64字節(jié)的TCP SYN報(bào)文，某些宣傳具有防護(hù)SYN Flood攻擊的產(chǎn)品就是這么做的。隨著工具的改進(jìn)，發(fā)出的TCP SYN 報(bào)文完全模擬常見的通用操作系統(tǒng)，并且IP頭和TCP頭的字段完全隨機(jī)，這時就無法在設(shè)備上根據(jù)特定的規(guī)則來過濾攻擊報(bào)文。這時就需要根據(jù)經(jīng)驗(yàn)判斷IP 包頭里TTL值不合理的數(shù)據(jù)包并阻斷，但這種手工的方法成本高、效率低。 圖是某攻擊工具屬性設(shè)置。 178。SYN Cookie：就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個IP地址來的包會被丟棄。但SYN Cookie依賴于對方使用真實(shí)的IP地址，如果攻擊者利用SOCK_RAW隨機(jī)改寫IP報(bào)文中的源地址，這個方法就沒效果了。178。syn cookie/syn proxy類防護(hù)算法：這種算法對所有的syn包均主動回應(yīng)，探測發(fā)起syn包的源IP地址是否真實(shí)存在；如果該IP地址真實(shí)存在，則該IP會回應(yīng)防護(hù)設(shè)備的探測包，從而建立TCP連接；大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品采用此類算法。178。safereset算法：此算法對所有的syn包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實(shí)存在的IP地址會發(fā)送rst包給防護(hù)設(shè)備，然后發(fā)起第2次連接，從而建立TCP連接；部分國外產(chǎn)品采用了這樣的防護(hù)算法。178。syn重傳算法：該算法利用了TCP/IP協(xié)議的重傳特性，來自某個源IP的第一個syn包到達(dá)時被直接丟棄并記錄狀態(tài)，在該源IP的第2個syn包到達(dá)時進(jìn)行驗(yàn)證，然后放行。 178。綜合防護(hù)算法：結(jié)合了以上算法的優(yōu)點(diǎn)，并引入了IP信譽(yù)機(jī)制。當(dāng)來自某個源IP的第一個syn包到達(dá)時，如果該IP的信譽(yù)值較高，則采用syncookie算法；而對于信譽(yù)值較低的源IP，則基于協(xié)議棧行為模式，如果syn包得到驗(yàn)證，則對該連接進(jìn)入syncookie校驗(yàn)，一旦該IP的連接得到驗(yàn)證則提高其信譽(yù)值。有些設(shè)備還采用了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值，大大減少了存儲量。 ACK Flood攻擊 原理ACK Flood攻擊是在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的，主機(jī)在接收到一個帶有ACK標(biāo)志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放，則主機(jī)操作系統(tǒng)協(xié)議棧會回應(yīng)RST包告訴對方此端口不存在。這里，服務(wù)器要做兩個動作：查表、回應(yīng)ACK/RST。這種攻擊方式顯然沒有SYN Flood給服務(wù)器帶來的沖擊大，因此攻擊者一定要用大流量ACK小包沖擊才會對服務(wù)器造成影響。按照我們對TCP協(xié)議的理解，隨機(jī)源IP的ACK小包應(yīng)該會被Server很快丟棄，因?yàn)樵诜?wù)器的TCP堆棧中沒有這些ACK包的狀態(tài)信息。但是實(shí)際上通過測試，發(fā)現(xiàn)有一些TCP服務(wù)會對ACK Flood比較敏感，比如說JSP Server，在數(shù)量并不多的ACK小包的打擊下，JSP Server就很難處理正常的連接請求。對于Apache或者IIS來說，10kpps的ACK Flood不構(gòu)成危脅，但是更高數(shù)量的ACK Flood會造成服務(wù)器網(wǎng)卡中斷頻率過高，負(fù)載過重而停止響應(yīng)。可以肯定的是，ACK Flood不但可以危害路由器等網(wǎng)絡(luò)設(shè)備，而且對服務(wù)器上的應(yīng)用有不小的影響。抓包： 如果沒有開放端口，服務(wù)器將直接丟棄，這將會耗費(fèi)服務(wù)器的CPU資源。如果端口開放，服務(wù)器回應(yīng)RST。 ACK Flood防護(hù)178。利用對稱性判斷來分析出是否有攻擊存在。所謂對稱型判斷，就是收包異常大于發(fā)包，因?yàn)楣粽咄ǔ捎么罅緼CK包，并且為了提高攻擊速度，一般采用內(nèi)容基本一致的小包發(fā)送。這可以作為判斷是否發(fā)生ACK Flood的依據(jù)，但是目前已知情況來看，很少有單純使用ACK Flood攻擊，都會和其他攻擊方法混合使用，因此，很容易產(chǎn)生誤判。178。一些防火墻應(yīng)對的方法是：建立一個hash表，用來存放TCP連接“狀態(tài)”，相對于主機(jī)的TCP stack實(shí)現(xiàn)來說，狀態(tài)檢查的過程相對簡化。例如，不作sequence number的檢查，不作包亂序的處理，只是統(tǒng)計(jì)一定時間內(nèi)是否有ACK包在該“連接”(即四元組)上通過，從而“大致”確定該“連接”是否是“活動的”。