高防服务器（3）胡经国六、DDoS攻击方式分类下面，介绍几种最常见的攻击方式，也是比较难防护的攻击方式。

为了便于理解变种SYN攻击，先介绍一下SYN攻击。

1、SYN攻击SYN攻击属于DoS攻击的一种。

它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

TCP协议建立连接的时候，需要双方相互确认信息，来防止连接被伪造和精确控制整个数据传输过程，确保数据完整有效。

所以，TCP协议采用“三次握手”建立一个连接。

第一次握手：建立连接时，客户端发送SYN包到服务器，并进入SYN_SEND状态，等待服务器确认。

SYN_SENT表示请求连接。

当你要访问其它计算机的服务时，首先要发个同步信号给该端口，此时状态为SYN_SENT。

如果连接成功了，就会变为ESTABLISHED，此时SYN_SENT状态非常短暂。

但是，如果发现SYN_SENT 非常多，而且在向不同的机器发出，那么你的机器可能中了冲击波或震荡波之类的病毒了。

这类病毒为了感染别的计算机，它就要扫描别的计算机。

在扫描的过程中对每个要扫描的计算机都要发出同步请求，这也是出现许多SYN_SENT的原因。

ESTABLISHED的意思是建立连接，表示两台机器正在通信。

第二次握手：服务器收到SYN包，必须确认客户的SYN，同时自己也发送一个SYN＋ACK包，此时服务器进入SYN_RECV状态。

SYN_RECV是指服务器端被动打开后，接收到了客户端的SYN并且发送了ACK时的状态。

再进一步接收到客户端的ACK，就进入ESTABLISHED状态。

ACK（Acknowledgement），即确认字符，是在数据通信中，接收站发给发送站的一种传输类控制字符，表示发来的数据已确认接受无误。

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

SYN攻击利用TCP协议“三次握手”的原理，大量发送伪造源IP的SYN 包，也就是伪造第一次握手数据包；服务器每接收到一个SYN包，就会为这个连接信息分配核心内存并放入半连接队列。

如果短时间内接收到攻击的SYN包太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接；当攻击的SYN包超过半连接队列的最大值时，正常客户发送SYN数据包请求连接就会被服务器丢弃。

每种操作系统半连接队列大小不一样，所以抵御SYN 攻击的能力也不一样。

那么，能不能把半连接队列增加到足够大来保证不会溢出呢？答案是：不能。

每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如，Win2000操作系统在注册表：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里TcpMaxHalfOpen，TcpMaxHalfOpenRetried，Linux操作系统，用变量tcp_max_syn_backlog来定义半连接队列的最大数。

但是，每建立一个半连接资源，就会耗费系统的核心内存。

操作系统的核心内存，是专门提供给系统内核使用的内存，不能进行虚拟内存转换，是非常紧缺的资源。

Windows 2000操作系统当物理内存是4G的时候核心内存只有不到300M，系统所有核心模块都要使用核心内存。

所以，能给半连接队列用的核心内存非常少。

Windows 2003 默认安装情况下，若Web Server的80端口每秒钟接收5000个SYN数据包，则在1分钟后网站就打不开了。

标准SYN数据包64字节，5000个等于5000×64×8(换算成bit)/1024＝2500K，也就是 2.5M带宽；如此小的带宽就可以让服务器端口瘫痪。

由于SYN攻击数据包的源IP是伪造的，很难追查到攻击源，因而这种攻击非常多。

2、变种SYN攻击变种SYN攻击发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节。

这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU、内存的同时，还会堵塞带宽。

3、TCP混乱数据包攻击TCP混乱数据包攻击发送伪造源IP的TCP数据包，TCP头的TCP Flags 部分是混乱的，可能是syn，ack，syn+ack，syn+rst等等。

这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU、内存的同时，还会堵塞带宽。

4、针对UDP协议的攻击针对UDP（User Datagram Protocol，用户数据报协议）的攻击。

很多聊天室，视频音频软件，都是通过UDP数据包传输的。

攻击者针对要攻击的网络软件协议，发送和正常数据一样的数据包。

这种攻击非常难防护。

一般防火墙通过拦截攻击数据包的特征码防护。

但是，这样会造成正常的数据包也会被拦截。

5、针对Web Server的多连接攻击针对Web Server的多连接攻击，通过控制大量“肉鸡”同时连接访问网站，造成网站无法处理而瘫痪。

这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍。

有些防火墙可以通过限制每个连接过来的IP连接数来防护。

但是，这样会造成正常用户稍微多打开几次网站也会被封。

6、针对Web Server的变种攻击针对Web Server的变种攻击，通过控制大量“肉鸡”同时连接访问网站，一点连接建立就不断开，一直发送一些特殊的GET访问请求，造成网站数据库或者某些页面耗费大量的CPU。

这样，通过限制每个连接过来的IP连接数就失效了。

因为，每个“肉鸡”可能只建立一个或者只建立少量的连接。

这种攻击非常难以防护。

后面给大家介绍防火墙的解决方案。

7、另一种针对Web Server的变种攻击另一种针对Web Server的变种攻击，通过控制大量“肉鸡”同时连接网站端口，但是不发送GET请求而是发送乱七八糟的字符。

大部分防火墙分析攻击数据包前三个字节是GET字符，然后来进行HTTP协议的分析。

这种攻击不发送GET请求就可以绕过防火墙到达服务器。

一般服务器都是共享带宽的，带宽不会超过10M。

所以，大量的“肉鸡”攻击数据包，就会把这台服务器的共享带宽堵塞，造成服务器瘫痪。

这种攻击也非常难防护。

因为，如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误地封锁很多正常的数据包，造成正常用户无法访问。

后面给大家介绍防火墙的解决方案。

8、针对游戏服务器的攻击游戏服务器非常多。

这里介绍最早也是影响最大的传奇游戏。

传奇游戏分为：登陆注册端口7000，人物选择端口7100，以及游戏运行端口7200、7300、7400等。

因为游戏协议设计得非常复杂，所以攻击的方式也花样百出，大概有几十种之多。

而且，还在不断发现新的攻击方式。

这里介绍目前最普遍的假人攻击。

假人攻击，是指通过“肉鸡”模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动；从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击者、哪些是正常玩家。

以上介绍的是几种最常见的攻击方式，也是比较难以防护的攻击方式。

一般基于数据包过滤的防火墙，只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN、变种SYN、ACK攻击的效果还是不错的。

但是，不能从根本上分析TCP、UDP协议，和针对应用层的协议，比如HTTP、游戏协议，软件视频音频协议。

新的攻击方式越来越多，都是针对应用层协议漏洞，或者分析协议，然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流。

单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好地防护新型攻击。

七、如何防御1、拒绝服务攻击的发展从简单DoS攻击到DDoS攻击，拒绝服务攻击已经有了很多的发展。

那么什么是DoS攻击和DDoS攻击呢？DoS攻击是一种针对单台计算机的“一对一”攻击方式。

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击是一种基于DoS攻击的特殊形式的分布式拒绝服务攻击，是一种分布、协作的大规模攻击方式；主要瞄准比较大的网站，比如一些商业公司、搜索引擎和政府部门的网站。

DDoS 攻击是利用一批受控制的机器（“肉鸡”）向一台机器发起攻击。

这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

如果说以前网络管理员对抗DoS可以采取防火墙过滤IP地址的方法的话，那么面对当前DDoS 攻击的众多伪造出来的地址则显得没有办法。

所以说，防范DDoS 攻击变得更加困难。

那么，如何采取措施加以有效应对呢？下面，我们从两个方面进行介绍。

2、预防为主保证安全DDoS 攻击是黑客最常用的攻击手段。

下面列出了对付它的一些常规方法。

⑴、定期扫描要定期扫描现有的网络主节点，清查可能存在的安全漏洞。

对新出现的漏洞及时进行清理。

骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身，加强安全是非常重要的。

而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

⑵、在骨干节点配置防火墙防火墙本身能抵御DDoS攻击和其他一些攻击。

在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正主机不被攻击。

当然，导向的这些牺牲主机可以选择不重要的，或者是Linux和Unix等漏洞少和天生防范攻击优秀的操作系统。

⑶、用足够的机器承受黑客攻击这是一种较为理想的应对策略。

如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客就已无力支招儿了。

不过，此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符。

⑷、充分利用网络设备保护网络资源所谓网络设备，是指路由器、防火墙等负载均衡设备。

它们可将网络有效地保护起来。

当网络被攻击时，最先死掉的是路由器，但其他机器没有死。

死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。

若其他服务器死掉，则其中的数据会丢失，而且重启服务器又是一个漫长的过程，特别是一个公司使用了负载均衡设备。

这样，当一台路由器被攻击死机时，另一台将马上工作。

从而，最大程度地削减了DDoS 攻击。

⑸、过滤不必要的服务和端口过滤不必要的服务和端口，即在路由器上过滤假IP ……只开放服务端口，成为很多服务器的流行做法，例如Web服务器。

那么，只开放端口80而将其他所有端口关闭，或在防火墙上做阻止策略。

⑹、检查访问者的来源使用URPF（Unicast Reverse Path Forwarding，单播反向路径转发）等，通过反向路由器查询的方法，检查访问者的IP地址是否是真的。

若是假的，则将它予以屏蔽。

许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。

因此，利用URPF可减少假IP地址的出现，有助于提高网络安全性。