【正文】 。一些防火墻應(yīng)對的方法是：建立一個hash表，用來存放TCP連接“狀態(tài)”，相對于主機的TCP stack實現(xiàn)來說，狀態(tài)檢查的過程相對簡化。這可以作為判斷是否發(fā)生ACK Flood的依據(jù)，但是目前已知情況來看，很少有單純使用ACK Flood攻擊，都會和其他攻擊方法混合使用，因此，很容易產(chǎn)生誤判。利用對稱性判斷來分析出是否有攻擊存在。如果端口開放，服務(wù)器回應(yīng)RST。可以肯定的是，ACK Flood不但可以危害路由器等網(wǎng)絡(luò)設(shè)備，而且對服務(wù)器上的應(yīng)用有不小的影響。但是實際上通過測試，發(fā)現(xiàn)有一些TCP服務(wù)會對ACK Flood比較敏感，比如說JSP Server，在數(shù)量并不多的ACK小包的打擊下，JSP Server就很難處理正常的連接請求。這種攻擊方式顯然沒有SYN Flood給服務(wù)器帶來的沖擊大，因此攻擊者一定要用大流量ACK小包沖擊才會對服務(wù)器造成影響。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機并未開放，則主機操作系統(tǒng)協(xié)議棧會回應(yīng)RST包告訴對方此端口不存在。有些設(shè)備還采用了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值，大大減少了存儲量。綜合防護算法：結(jié)合了以上算法的優(yōu)點，并引入了IP信譽機制。syn重傳算法：該算法利用了TCP/IP協(xié)議的重傳特性，來自某個源IP的第一個syn包到達時被直接丟棄并記錄狀態(tài)，在該源IP的第2個syn包到達時進行驗證，然后放行。safereset算法：此算法對所有的syn包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實存在的IP地址會發(fā)送rst包給防護設(shè)備，然后發(fā)起第2次連接，從而建立TCP連接；部分國外產(chǎn)品采用了這樣的防護算法。syn cookie/syn proxy類防護算法：這種算法對所有的syn包均主動回應(yīng)，探測發(fā)起syn包的源IP地址是否真實存在；如果該IP地址真實存在，則該IP會回應(yīng)防護設(shè)備的探測包，從而建立TCP連接；大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品采用此類算法。但SYN Cookie依賴于對方使用真實的IP地址，如果攻擊者利用SOCK_RAW隨機改寫IP報文中的源地址，這個方法就沒效果了。 178。這時就需要根據(jù)經(jīng)驗判斷IP 包頭里TTL值不合理的數(shù)據(jù)包并阻斷，但這種手工的方法成本高、效率低。因此可以在關(guān)鍵節(jié)點上設(shè)置策略過濾64字節(jié)的TCP SYN報文，某些宣傳具有防護SYN Flood攻擊的產(chǎn)品就是這么做的。特征匹配：IPS上會常用的手段，在攻擊發(fā)生的當時統(tǒng)計攻擊報文的特征，定義特征庫，例如過濾不帶TCP Options 的syn 包等；178。但是，這種方法在攻擊流量較大的時候，連接出現(xiàn)較大的延遲，網(wǎng)絡(luò)的負載較高，很多情況下反而成為整個網(wǎng)絡(luò)的瓶頸；178。目前市面上有些防火墻具有SYN Proxy功能，這種方法一般是定每秒通過指定對象（目標地址和端口、僅目標地址或僅源地址）的SYN片段數(shù)的閥值，當來自相同源地址或發(fā)往相同目標地址的SYN片段數(shù)達到這些閥值之一時，防火墻就開始截取連接請求和代理回復(fù)SYN/ACK片段，并將不完全的連接請求存儲到連接隊列中直到連接完成或請求超時。在服務(wù)器上用netstat –an命令查看SYN_RECV狀態(tài)的話，就可以看到：如果我們抓包來看：通過上圖可以看到大量的SYN包沒有ACK回應(yīng)。如果攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)器端將會消耗非常多的資源來處理這種半連接，保存遍歷會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。而真實的IP會認為，我沒有發(fā)送請求，不作回應(yīng)。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回復(fù)。這種攻擊早在1996年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護SYN,或者變種的SYN,ACK攻擊效果不錯，但是不能從根本上來分析TCP,UDP協(xié)議，和針對應(yīng)用層的協(xié)議，比如,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護新型的攻擊。 針對游戲服務(wù)器的攻擊　　因為游戲服務(wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000,人物選擇端口7100，以及游戲運行端口7200,7300,7400等，因為游戲自己的協(xié)議設(shè)計的非常復(fù)雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。這種攻擊非常難防護，后面給大家介紹防火墻的解決方案。 WEB Server多連接攻擊　　通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封。 TCP混亂數(shù)據(jù)包攻擊　　發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn,ack,syn+ack,syn+rst等等，會造成一些防火墻處理錯誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。 　　 主要幾個攻擊類型： TCP全連接攻擊和SYN攻擊不同，它是用合法并完整的連接攻擊對方，SYN攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請求，防火墻一般都無法過濾掉這種攻擊，這種攻擊在現(xiàn)在的DDOS軟件中非常常見，有UDP碎片還有SYN洪水，甚至還有TCP洪水攻擊，這些攻擊都是針對服務(wù)器的常見流量攻擊 　　:2900 :80 ESTABLISHED 　　:2901 :80 ESTABLISHED 　　:2902 :80 ESTABLISHED 　　:2903 :80 ESTABLISHED 　　 全連接攻擊，通過大量完整的TCP鏈接就有可能讓服務(wù)器的80端口無法訪問。 　　、其他防御措施 　　 以上幾條對抗DDOS建議，適合絕大多數(shù)擁有自己主機的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負載均衡技術(shù)，甚至需要購買七層交換機設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。實際測試syn流量64B包抵抗極限大概是25M左右。 　　天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核，X86架構(gòu)，現(xiàn)在應(yīng)該也是Linux內(nèi)核了。金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測及防護外，還提供了面向報文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標志位，關(guān)鍵字等，極大的提高了通用性及防護力度。 　　金盾抗拒絕服務(wù)系統(tǒng)：金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗決絕服務(wù)攻擊算法，對SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，F(xiàn)ragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各種常見的攻擊行為均可有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷，保護服務(wù)主機免于攻擊所造成的損失。優(yōu)點是更新快，技術(shù)支持比較好，在100M環(huán)境下對synflood有絕對優(yōu)勢。 　　、安裝專業(yè)抗DDOS防火墻 　　綠盟黑洞： X86架構(gòu)，linux內(nèi)核與自主專利的抗synflood算法。 　　　　Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。 　　、升級主機服務(wù)器硬件 　　在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 ，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。 　　、充足的網(wǎng)絡(luò)帶寬保證 　　網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。 對于DDOS防御的理解對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。而DDOS攻擊主要以三層或是四層的協(xié)議異常為其特點，這就注定了IDS技術(shù)不太可能作為DDOS的檢測或是防護手段。IDS系統(tǒng)需要的是特定攻擊流檢測之后實時的阻斷能力，這樣才能真正意義上減緩DDOS對于網(wǎng)絡(luò)服務(wù)的影響。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實施成本和易用性極低。 入侵檢測目前IDS系統(tǒng)是最廣泛的攻擊檢測工具，但是在面臨DDOS攻擊時，IDS系統(tǒng)往往不能滿足要求。 　　最后防火墻的部署位置也影響了其防護DDOS攻擊的能力。 　　第二個原因就是傳統(tǒng)防火墻計算能力的限制，傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。通常，防火墻作為三層包轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中，一方面在保護內(nèi)部網(wǎng)絡(luò)的同時，它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路，如果DDOS攻擊采用了這些服務(wù)器允許的合法協(xié)議對內(nèi)部系統(tǒng)進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。 防火墻Internet　　防火墻幾乎是最常用的安全產(chǎn)品，但是防火墻設(shè)計原理中并沒有考慮針對DDOS攻擊的防護，在某些情況下，防火墻甚至成為DDOS攻擊的目標而導(dǎo)致整個網(wǎng)絡(luò)的拒絕服務(wù)。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進行DDoS攻擊，這樣就完全可以繞過uRPF防護策略。同時，如果DDOS攻擊采用地址欺騙的技術(shù)偽造數(shù)據(jù)包，那么路由器也無法對這種攻擊進行有效防范。 路由器通過路由器，我們可以實施某些安全措施，比如ACL等，這些措施從某種程度上確實可以過濾掉非法流量。 退讓策略　　為了抵抗DDOS攻擊，客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS的能力。但是這種做法只能針對小規(guī)模的DDOS進行防護。但我們可以通過采取各種防范措施，采用各種軟、硬件安防措施，降低攻擊級別，盡可能地降低DDoS攻擊所帶來的損失。還要注意做好主機上的系統(tǒng)漏洞的安全補丁，及時防止木馬入侵，清除惡意程序，這樣既可以減少自己受害，又防止加害于別人。 利用CAR to rate limit過濾ICMP packets accesslist 2020 permit icmp any any echo reply interface xy rate——limit output accessgroup 2020 3000000 5 1 2000 786000 conformaction transmit exceedaction drop 用rate limiting過濾Syn packets accesslist 1 52 permit tcp any host eq accesslist 1 53 permit tcp any host eqⅥ，、Ⅳw established int