DDOS攻擊器（Denial of Service拒絕服務）和DDOS攻擊器（Distributed Denial of Service分布式拒絕服務）攻擊是大型網(wǎng)站和網(wǎng)絡服務器的安全威脅之一。2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。IP攻擊器 Flood由于其攻擊效果好，已經(jīng)成為目前最流行的DDOS攻擊器和DDDOS攻擊器攻擊手段。

IP攻擊器 Flood利用TCP協(xié)議缺陷，發(fā)送了大量偽造的TCP連接請求，使得被攻擊方資源耗盡，無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手，首先客戶端發(fā)送一個包含IP攻擊器標志的數(shù)據(jù)包，其后服務器返回一個IP攻擊器/ACK的應答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包 ACK，這樣才完成TCP連接。在服務器端發(fā)送應答包后，如果客戶端不發(fā)出確認，服務器會等待到超時，期間這些半連接狀態(tài)都保存在一個空間有限的緩存隊列中；如果大量的IP攻擊器包發(fā)到服務器端后沒有應答，就會使服務器端的TCP資源迅速耗盡，導致正常的連接不能進入，甚至會導致服務器的系統(tǒng)崩潰。

防火墻通常用于保護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的非授權訪問，它位于客戶端和服務器之間，因此利用防火墻來阻止DDOS攻擊器攻擊能有效地保護內(nèi)部的服務器。針對IP攻擊器 Flood，防火墻通常有三種防護方式：IP攻擊器網(wǎng)關、被動式IP攻擊器網(wǎng)關和IP攻擊器中繼。

IP攻擊器網(wǎng)關防火墻收到客戶端的IP攻擊器包時，直接轉發(fā)給服務器；防火墻收到服務器的IP攻擊器/CC攻擊器后，一方面將IP攻擊器/CC攻擊器轉發(fā)給客戶端，另一方面以客戶端的名義給服務器回送一個CC攻擊器，完成TCP的三次握手，讓服務器端由半連接狀態(tài)進入連接狀態(tài)。當客戶端真正的CC攻擊器到達時，有數(shù)據(jù)則轉發(fā)給服務器，否則丟棄該包。由于服務器能承受連接狀態(tài)要比半連接狀態(tài)高得多，所以這種方法能有效地減輕對服務器的攻擊。

被動式IP攻擊器網(wǎng)關設置防火墻的IP攻擊器請求超時參數(shù)，讓它遠小于服務器的超時期限。防火墻負責轉發(fā)客戶端發(fā)往服務器的IP攻擊器包，服務器發(fā)往客戶端的IP攻擊器/CC攻擊器、以及客戶端發(fā)往服務器的CC攻擊器。這樣，如果客戶端在防火墻計時器到期時還沒發(fā)送CC攻擊器，防火墻則往服務器發(fā)送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數(shù)遠小于服務器的超時期限，因此這樣能有效防止IP攻擊器Flood攻擊。

IP攻擊器中繼防火墻在收到客戶端的IP攻擊器包后，并不向服務器轉發(fā)而是記錄該狀態(tài)信息然后主動給客戶端回送IP攻擊器/CC攻擊器，如果收到客戶端的CC攻擊器，表明是正常訪問，由防火墻向服務器發(fā)送IP攻擊器包并完成三次握手。這樣由防火墻做為代理來實現(xiàn)客戶端和服務器端的連接。

【編輯推薦】

1. DDOS防火墻防御功能對比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 實例體驗自造DDOS硬件防火墻
4. 獨裁者DDoS攻擊器實施攻擊詳解
5. 對DDoS攻擊器的簡單概述
6. 實例剖析獨裁者DDOS攻擊器