電子商務(wù)網(wǎng)站安全中的ＤＤｏＳ攻防博弈

何培源

摘要：文章對(duì)現(xiàn)今電子商務(wù)網(wǎng)站所面臨的最具威脅性的攻擊——分布式拒絕服務(wù)（DDoS）攻擊的攻擊機(jī)理作了較為詳細(xì)的分析，并分析了針對(duì)DDoS攻擊的不同攻擊子類的特點(diǎn)及采取的應(yīng)對(duì)防范措施，從而降低被攻擊方受攻擊后的損害程度。最后揭示了想要將DDoS攻擊發(fā)生的可能性降到最低的一切防范措施的根本特性——社會(huì)性。

關(guān)鍵詞：電子商務(wù)；DDoS攻擊；網(wǎng)絡(luò)安全；入侵檢測(cè)；入侵防御

中圖分類號(hào)：TP391文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1002-3100(2009)01-0034-06

Abstract: This article analyses the mechanism and architectures of the most threatening attack to the electronic websites nowadays, which is DDoS（Distributed Deny of Service）attack. The article further describes the different features of its subcategories and the different measures to keep web sites from being seriously damaged after having been attacked. Moreover, besides the technical issues, the social and management issues are also referred, and these issues may be the vital measures to entirely eliminate possibilities from being damaged by the DDoS attack.

Key words: E-commerce; DDoS attack; network security; intrusion detection; intrusion defensive

0引言

社會(huì)信息化進(jìn)程的發(fā)展，電子商務(wù)、電子政務(wù)等信息化工程的日益完善一直跟隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展，然而從安全的角度來看，隨著網(wǎng)絡(luò)的逐步完善，電子商務(wù)網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全問題卻始終如揮之不去的夢(mèng)魘。日益突出的安全問題面前，魔道雙方的攻守角逐未曾也永遠(yuǎn)不會(huì)停止。本文闡述了一種很難被徹底解決的電子商務(wù)網(wǎng)站安全問題——可造成網(wǎng)絡(luò)延時(shí)甚至癱瘓的攻擊DDoS（Distributed Deny of Service——分布式拒絕服務(wù)攻擊）產(chǎn)生的機(jī)理以及防御的主要方法，并探討更有效的網(wǎng)絡(luò)安全維護(hù)策略和機(jī)制。

1來自DDoS攻擊的威脅

DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上發(fā)展而來的一種攻擊方式。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，DoS（Deny of Service——拒絕服務(wù)） 因此得名。

單一的DoS攻擊一般采用一對(duì)一的方式，當(dāng)被攻擊目標(biāo)各項(xiàng)性能指標(biāo)較低，如：低CPU速度、小內(nèi)存或者網(wǎng)絡(luò)帶寬有限時(shí)，攻擊效果是明顯的。但隨著硬件與網(wǎng)絡(luò)技術(shù)的發(fā)展，硬件價(jià)格暴跌的情況下，計(jì)算機(jī)的內(nèi)存增加，處理器能力大大提高，千兆級(jí)別的網(wǎng)絡(luò)的出現(xiàn)，使得DoS攻擊的難度增加不少，因?yàn)樾阅艿脑鰪?qiáng)使得目標(biāo)機(jī)對(duì)惡意攻擊包的化解能力也隨之增強(qiáng)。此時(shí)分布式的拒絕服務(wù)攻擊（DDoS）也隨之應(yīng)運(yùn)而生。DDoS原理很簡(jiǎn)單，就是利用網(wǎng)絡(luò)掌控并集結(jié)盡量多的傀儡機(jī)來攻擊目標(biāo)機(jī)以期達(dá)到比單機(jī)大得多殺傷力。但其危害卻極大且難以防御。

2008年4月7日18點(diǎn)左右到4月8日21點(diǎn)15分，一家國內(nèi)網(wǎng)民自發(fā)建立的揭露西方媒體不客觀報(bào)道的非政府網(wǎng)站、揭示不實(shí)報(bào)道事件真相的交流平臺(tái)，反CNN網(wǎng)站（www.anti-cnn.com），遭DDoS攻擊，導(dǎo)致攻擊期間超過27個(gè)小時(shí)網(wǎng)民無法登錄反CNN網(wǎng)站頁面的情況。

自從1999年第一次有報(bào)道的大規(guī)模DDoS攻擊在美國明尼蘇達(dá)大學(xué)出現(xiàn)以來，相當(dāng)多的電子商務(wù)網(wǎng)站已經(jīng)遭受到其暗算并且損失慘重。2000年，雅虎、CNN等一批大型商業(yè)網(wǎng)站被DDoS攻陷并停止正常運(yùn)營。有研究表明，在2001年2月中的3周時(shí)間內(nèi)，DDoS有效攻擊達(dá)12 000次并侵害了5 000多臺(tái)主機(jī)。DDoS造成的數(shù)據(jù)流堵塞迫使路由器丟棄所有用戶的請(qǐng)求。更嚴(yán)重的基于DNS的DDoS攻擊發(fā)生在2006年，但是這是一種新型的攻擊方式，攻擊者并不直接攻擊DNS服務(wù)器而是利用其作為跳板進(jìn)而發(fā)動(dòng)更大規(guī)模的攻擊，由于DNS協(xié)議的復(fù)雜性和各DNS服務(wù)器之間的聯(lián)系，這種攻擊更難以化解。兩個(gè)月之內(nèi)，曾有1 500多個(gè)IP地址被這種方式攻擊過。

在自第一次的DDoS攻擊出現(xiàn)之后，各種偵測(cè)和應(yīng)對(duì)的技術(shù)沒有一種能夠給受害者以真正的保護(hù)。原因之一是很難將DDoS攻擊的數(shù)據(jù)流量和正常的數(shù)據(jù)流量區(qū)分開；原因之二是在分布式的網(wǎng)絡(luò)結(jié)構(gòu)中，DDoS攻擊利用IP欺騙等手段很容易隱藏且不易被追溯，因此不能被有效的阻止。

1.1DDoS攻擊原理和其分類

分布式拒絕服務(wù)（DDoS）類攻擊通過聚集分布在網(wǎng)絡(luò)上的力量，形成毀滅性的流量攻擊。道高一尺，魔高一丈。隨著用戶系統(tǒng)的安全性能的不斷增強(qiáng)，黑客不得不從普通的DoS攻擊轉(zhuǎn)向分布式攻擊形式。圖1顯示了“魔”“道”之間的爭(zhēng)斗歷史發(fā)展。

1.2DDoS攻擊的分布合作架構(gòu)

圖2描述了一個(gè)典型的DDoS攻擊結(jié)構(gòu)，分為4個(gè)部分：黑客機(jī)、受控傀儡機(jī)、攻擊傀儡機(jī)和受害目標(biāo)機(jī)。整個(gè)結(jié)構(gòu)中最主要的是第2、第3部分。攻擊者先黑入幾臺(tái)受控傀儡機(jī)的系統(tǒng)取得控制權(quán)。接著，受控傀儡機(jī)再次通過一些自動(dòng)入侵軟件接管更多的攻擊傀儡機(jī)。對(duì)第4部分的受害目標(biāo)機(jī)來說，DDoS的攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的受控傀儡機(jī)只控制攻擊傀儡機(jī)而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有全部或部分控制權(quán)，黑客會(huì)修改此類機(jī)器上的日志和預(yù)留后門等方法隱藏自己的蹤跡。通過上傳到這些受控和攻擊傀儡機(jī)上的DDoS程序，一旦黑客進(jìn)行控制并向所有的攻擊傀儡機(jī)發(fā)出攻擊指令的時(shí)候，攻擊傀儡機(jī)就對(duì)目標(biāo)受害者發(fā)送大量垃圾流量，有效擁堵住入口并阻斷合法用戶訪問。因?yàn)榭軝C(jī)發(fā)出的數(shù)據(jù)包的包頭中所含有的源地址是偽造的（IP 欺騙——IP Spoofing），所以這種結(jié)構(gòu)非常難以追溯。目標(biāo)受害機(jī)往往是一些知名的電子商務(wù)網(wǎng)站服務(wù)器等。

實(shí)際上，為了增加攻擊的有效性，黑客會(huì)做好如下功課：

（1）了解被攻擊目標(biāo)主機(jī)數(shù)目、IP地址、配置、性能情況、目標(biāo)的網(wǎng)絡(luò)帶寬；

（2）在受控傀儡機(jī)上預(yù)留后門和清理日志；

（3）盡量多地使用攻擊傀儡機(jī)；

（4）使用盡量有效地DDoS攻擊工具。DDoS攻擊工具的源代碼在互聯(lián)網(wǎng)上都是公開的并且新的版本不斷地在更新。新的“增強(qiáng)”版本在隱藏攻擊流量以及加密手段方面更加復(fù)雜，使得防御來得更加困難。

在有線網(wǎng)絡(luò)中，三種隱患可導(dǎo)致DDoS攻擊，分別為：不安全的互聯(lián)網(wǎng)絡(luò)，缺乏垃圾流量管理手段和IP欺騙。

1.3DDoS攻擊種類

為了增強(qiáng)攻擊力度提高攻擊效果并且很好地隱藏攻擊者使其不被暴露，DDoS通常具有兩種主要攻擊方式：數(shù)據(jù)包洪流（Flood）攻擊和反彈（reflector）DDoS攻擊。為了達(dá)到最佳的攻擊效果，這兩種攻擊頻繁地被同時(shí)利用。

1.3.1數(shù)據(jù)包洪流攻擊

第一種攻擊稱為請(qǐng)求數(shù)據(jù)包攻擊或者直接攻擊，圖2所示的DDoS攻擊結(jié)構(gòu)即為直接攻擊（Direct Attack），攻擊者通過黑入幾臺(tái)受控傀儡機(jī)的系統(tǒng)取得控制權(quán)然后通過它們向受害目標(biāo)機(jī)發(fā)送巨量數(shù)據(jù)包，通過使用隨機(jī)產(chǎn)生的IP地址替換掉自身或傀儡機(jī)中數(shù)據(jù)包頭部的真實(shí)源地址隱藏自身位置?，F(xiàn)今很多各種類型的DDoS工具都屬于此類，最具有代表性的攻擊稱為基于數(shù)據(jù)洪流式的（SYN Flooding Based）攻擊結(jié)構(gòu)的攻擊，即利用TCP/IP協(xié)議自身固有的弱點(diǎn)——三次握手，通過巨量貌似正常的鏈接數(shù)據(jù)來堵塞受害目標(biāo)的網(wǎng)絡(luò)帶寬，從而造成合法的用戶數(shù)據(jù)包因帶寬資源枯竭而無法正常到達(dá)受害主機(jī)服務(wù)器。

SYN Flood攻擊原理。經(jīng)過長(zhǎng)期篩選，在攻擊的有效性方面較高的SYN Flood攻擊是當(dāng)前黑客使用得最多的一種攻擊方式，Syn Flood利用了TCP/IP協(xié)議的固有特點(diǎn)（漏洞）即：面向連接的TCP三次握手。

TCP與UDP不同，它是基于連接的，即為了實(shí)現(xiàn)TCP數(shù)據(jù)在服務(wù)端和客戶端之間傳送，必須先建立一個(gè)虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程如圖3所示。

第一步，請(qǐng)求端（客戶端）發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步（Synchronize），同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。

第二步，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN

+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK即確認(rèn)（Acknow ledgement）。

第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號(hào)被加一，到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程，一個(gè)TCP連接完成。

如圖3中所示的連接過程在TCP協(xié)議中被稱為三次握手（Three-way Handshake）。

被利用的漏洞出現(xiàn)在TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然掉線或死機(jī)，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文（第二次握手）后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)長(zhǎng)稱為SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一般情況下個(gè)別用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么大問題，但如果有惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)數(shù)以萬計(jì)的半連接列表而會(huì)消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。如果服務(wù)器的TCP/IP堆棧不夠強(qiáng)大，最后往往是堆棧溢出崩潰。即便服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇響應(yīng)客戶的正常請(qǐng)求，此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊（SYN數(shù)據(jù)包洪流攻擊）。

1.3.2反彈DDoS攻擊

第二種方式因使用到稱為反彈服務(wù)器的主機(jī)使得追蹤攻擊方的行蹤變得更加困難。所謂反彈服務(wù)器即收到請(qǐng)求數(shù)據(jù)包后將會(huì)返回?cái)?shù)據(jù)包的主機(jī)。比如一臺(tái)Web服務(wù)器可以被當(dāng)作反彈服務(wù)器，因它在接收到HTTP請(qǐng)求后會(huì)返回HTTP響應(yīng)數(shù)據(jù)包。攻擊者通過向反彈服務(wù)器主機(jī)發(fā)送請(qǐng)求數(shù)據(jù)包并將源地址的IP偽裝替換成受害機(jī)的IP，這樣反彈服務(wù)器返回?cái)?shù)據(jù)包將指向受害機(jī)，如果反彈服務(wù)器的數(shù)量眾多，受害機(jī)的網(wǎng)絡(luò)將遭到巨量數(shù)據(jù)流的攻擊而堵塞。此類攻擊區(qū)別于數(shù)據(jù)包攻擊或者直接攻擊的主要特點(diǎn)在于受控傀儡機(jī)將源地址數(shù)據(jù)包里IP頭部的地址信息修改成為受害機(jī)的IP地址，也就是說用受害目標(biāo)機(jī)的IP地址替換掉受控傀儡機(jī)或者攻擊者的源地址。實(shí)際上，這種攻擊方式下，受害目標(biāo)機(jī)將收到的洪流數(shù)據(jù)包來自不只是幾百個(gè)攻擊傀儡機(jī)而是上百萬個(gè)！太多的來自不同方向的基于反彈的DDoS攻擊降低了追溯到真正攻擊者的可能性，數(shù)量眾多的反彈服務(wù)器掩蓋了攻擊者的身影，并且反彈服務(wù)器在攻擊其它機(jī)器的時(shí)候還是可以正常響應(yīng)合法登錄者的請(qǐng)求。攻擊者不用像侵入傀儡機(jī)內(nèi)部一樣去侵入反彈服務(wù)器，只需黑入一小部分的受控傀儡機(jī)并且搜索出大批的反彈服務(wù)器即可達(dá)到效果，這樣大大便利了入侵者的攻擊。由于反彈服務(wù)器利用大量ACK報(bào)文攻擊，受害機(jī)不必向反彈服務(wù)器返回任何數(shù)據(jù)包。

在一次反彈DDoS攻擊中，任何可以向受害機(jī)發(fā)送響應(yīng)數(shù)據(jù)包的協(xié)議均可被利用。為了制造出更強(qiáng)的攻擊效果，攻擊者甚至利用了數(shù)據(jù)包流量放大技術(shù)，在傀儡機(jī)和反彈服務(wù)器之間設(shè)置流量放大器。流量放大器向所有在網(wǎng)絡(luò)廣播地址范圍內(nèi)的每一個(gè)反彈服務(wù)器廣播請(qǐng)求數(shù)據(jù)包。當(dāng)前網(wǎng)絡(luò)幾乎所有的路由器都支持網(wǎng)絡(luò)IP廣播，因此存在大量潛在的流量放大器。這幫助了攻擊者可以不用太多的精力去尋找數(shù)量眾多的反彈服務(wù)器而只需用流量放大器加大攻擊流量。圖4是DDoS反彈式攻擊體系結(jié)構(gòu)。

基于ICMP流量的Smurf攻擊。Smurf攻擊是典型使用流量放大器的DDoS攻擊，命名來自于病毒的名稱。在這種攻擊中，ICMP（Internet控制消息協(xié)議，Internet Control Message Protocol）協(xié)議是攻擊的平臺(tái)。ICMP協(xié)議用來給IP協(xié)議提供控制服務(wù)，允許路由器或目標(biāo)主機(jī)給數(shù)據(jù)的發(fā)送方提供反饋信息。許多網(wǎng)絡(luò)攻擊都基于ICMP協(xié)議，ICMP協(xié)議是IP協(xié)議的一部分，任何實(shí)現(xiàn)了IP協(xié)議的設(shè)備同時(shí)也被要求實(shí)現(xiàn)ICMP協(xié)議。通常，ICMP請(qǐng)求和ECHO回應(yīng)可以用作攜帶控制信息，比如：一個(gè)網(wǎng)絡(luò)的管理系統(tǒng)可以通過ICMP信息獲取路由器的狀況。類似于PING命令，ICMP可以測(cè)試網(wǎng)絡(luò)的連通性。一個(gè)ICMP Echo Request可以包含64K的數(shù)據(jù)，它被發(fā)送后，接收方會(huì)返回一個(gè)尺寸更大的ICMP Echo Reply數(shù)據(jù)包，其中包含了接收到的數(shù)據(jù)的拷貝。在Smurf攻擊中，ping包中包含的欺騙源地址指向的主機(jī)是最終的受害者，也是主要的受害者；而路由器連接的成為了攻擊的幫兇（即流量放大器，使網(wǎng)絡(luò)流量迅速增大），也是受害者。如果一個(gè)廣播網(wǎng)段中有N個(gè)主機(jī)，最終受害機(jī)就要收到N個(gè)Echo Reply回應(yīng)。大量的ICMP Echo Reply會(huì)消耗掉目標(biāo)受害機(jī)所有的帶寬。

1.4IP欺騙

為了隱藏攻擊者或者受控傀儡機(jī)，IP欺騙被應(yīng)用在所有的DDoS攻擊中。傳統(tǒng)方式的DDoS攻擊方式下，攻擊者使用隨機(jī)產(chǎn)生的IP地址替換掉自身或傀儡機(jī)中數(shù)據(jù)包頭部的真實(shí)源地址。反彈式DDoS攻擊方式則必須用受害目標(biāo)機(jī)的IP地址替換掉源地址。

在實(shí)際的攻擊案例中，如果攻擊者可以搜尋并控制數(shù)量足夠多的傀儡機(jī)時(shí)，IP欺騙甚至可以不被使用，攻擊者可以考慮使用其他方法不被追溯到。一般情況下，攻擊者可以控制一長(zhǎng)串傀儡機(jī)，而想要追溯跨越長(zhǎng)達(dá)幾個(gè)國家的傀儡機(jī)鏈?zhǔn)菢O其困難的。因此，IP欺騙并非攻擊者藏身的唯一手段。

2分布式攻擊（ICMP、SYN Flood、Smurf）的防范

DDoS攻擊往往是一個(gè)企業(yè)的IT部門最頭痛的事情，對(duì)于防范DoS還相對(duì)容易，但是DDoS就很難解決了。目前市面上頂級(jí)的如電信級(jí)的防火墻，如果不能防止過多的DDoS鏈接，在很短時(shí)間能就會(huì)崩潰。

受害機(jī)的網(wǎng)絡(luò)架構(gòu)決定了攻擊者攻擊時(shí)需要使用的攻擊流量大小，也決定了網(wǎng)絡(luò)更易受到攻擊的可能性。增加受害機(jī)網(wǎng)絡(luò)的帶寬并且消除網(wǎng)絡(luò)帶寬瓶頸可以增加受害機(jī)在受攻擊時(shí)的忍受程度。大型的服務(wù)器集群除了可以通過增大帶寬，還可以加強(qiáng)防火墻處理能力來增大攻擊難度，迫使攻擊者增加進(jìn)攻的帶寬，但這是一個(gè)相互消耗的過程。

另外，應(yīng)用包過濾的技術(shù)，主要是過濾對(duì)外開放的端口，防止假冒地址的攻擊，使得外部機(jī)器無法假冒內(nèi)部機(jī)器的地址來對(duì)內(nèi)部機(jī)器發(fā)動(dòng)攻擊。

2.1ICMP防護(hù)措施

ICMP的開發(fā)初衷是作為廣域網(wǎng)管理員的診斷工具。但如今各種各樣的ICMP沒有遵守RFC792原先制訂的標(biāo)準(zhǔn)，所以執(zhí)行一定的策略可以讓它變得安全一些。帶有非法參數(shù)的偽造數(shù)據(jù)包也能產(chǎn)生ICMP參數(shù)問題數(shù)據(jù)包，當(dāng)ICMP數(shù)據(jù)包參數(shù)非法時(shí)，數(shù)據(jù)包會(huì)被丟棄，這時(shí)就會(huì)產(chǎn)生ICMP參數(shù)出錯(cuò)數(shù)據(jù)包。主機(jī)或路由器丟棄發(fā)送的數(shù)據(jù)包，并向發(fā)送者回送參數(shù)ICMP出錯(cuò)數(shù)據(jù)包，指出壞的參數(shù)。如果發(fā)送源地址的IP被篡改成目標(biāo)受害機(jī)的IP地址，這就可以使得攻擊者利用此特性攻擊目標(biāo)受害機(jī)。以秘密形式從主機(jī)到客戶機(jī)發(fā)布命令的一種通用方法，就是使用ICMP Echo應(yīng)答數(shù)據(jù)包作為載體，因?yàn)镋cho Respond回聲應(yīng)答本身一般不會(huì)被防火墻阻塞。

所以防護(hù)措施首先必須在數(shù)據(jù)出入站環(huán)節(jié)限制ICMP。出站的ICMP回聲應(yīng)被限制只支持個(gè)人或單個(gè)服務(wù)器/ICMP代理。

如果限制ICMP回聲到一個(gè)外部IP地址（通過代理），則ICMP回聲應(yīng)答只能進(jìn)入網(wǎng)絡(luò)中預(yù)先定義的主機(jī)，通過限制ICMP超時(shí)數(shù)據(jù)包進(jìn)入一個(gè)內(nèi)部地址可以阻塞超時(shí)數(shù)據(jù)包。對(duì)外的傳輸都經(jīng)過代理，對(duì)內(nèi)的ICMP傳輸回到代理地址的時(shí)候要經(jīng)過防火墻。同時(shí)調(diào)整防火墻規(guī)則使得這些類型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進(jìn)行。

只允許有公開地址的服務(wù)器（比如Web、電子郵件和FTP服務(wù)器）、防火墻、聯(lián)入因特網(wǎng)的路由器使用ICMP與外面的世界對(duì)話。如果調(diào)整適當(dāng)，實(shí)際上所有使用進(jìn)站和出站ICMP的隱密通訊通道都會(huì)被中止。

2.2SYN Flood的防范

對(duì)于SYN Flood攻擊雖目前沒有非常有效地監(jiān)測(cè)和防御方法，但通過對(duì)系統(tǒng)架構(gòu)的設(shè)定，能降低被攻擊系統(tǒng)的負(fù)荷，減輕負(fù)面的影響。通常的防御方法有：

* 縮短SYN Timeout時(shí)間

* 設(shè)置SYN Cookie

* 負(fù)反饋策略

* 分布式DNS負(fù)載均衡退讓策略

* 防火墻QoS

2.2.1縮短SYN Timeout時(shí)間

SYN Flood攻擊的效果取決于在服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值等于SYN攻擊的頻度乘以 SYN Timeout時(shí)長(zhǎng)，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄改連接的時(shí)間，可以成倍地降低服務(wù)器的負(fù)荷。

2.2.2設(shè)置SYN Cookie

給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會(huì)被丟棄。

可是上述的兩種方法只能對(duì)付比較原始的SYN Flood攻擊，縮短SYN Timeout時(shí)間僅在對(duì)方攻擊頻度不高的情況下生效，SYN Cookie更依賴于對(duì)方使用真實(shí)的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報(bào)文，同時(shí)利用SOCK_RAW隨機(jī)改寫IP報(bào)文中的源地址，以上的方法將毫無用武之地。

2.2.3負(fù)反饋策略

一些流行的操作系統(tǒng)中（如Windows server）本身具有SYN攻擊保護(hù)機(jī)制：當(dāng)SYN Half link 的數(shù)量超過系統(tǒng)中TCP活動(dòng) Half-Connection最大連接數(shù)的設(shè)置，系統(tǒng)將會(huì)認(rèn)為自己受到了SYN Flood攻擊，并將根據(jù)攻擊的判斷情況做出反應(yīng)：減短SYN Timeout時(shí)間、減少SYN-ACK的重試次數(shù)、自動(dòng)對(duì)緩沖區(qū)中的報(bào)文進(jìn)行延時(shí)等措施，力圖將攻擊危害減到最低。如果攻擊繼續(xù)，超過了系統(tǒng)允許的最大Half-Connection 值，系統(tǒng)已經(jīng)不能提供正常的服務(wù)了，但為了保證不崩潰，系統(tǒng)將超出最大Half Connection值范圍的任何SYN報(bào)文丟棄。

所以，可以事先測(cè)試該主機(jī)在峰值時(shí)期的Half Connection的活動(dòng)數(shù)量上限，作為設(shè)定 Half Connection最大連接數(shù)的值，然后再以該值的倍數(shù)（不超過2）作為TCP最大Half Connection值，這樣可以通過負(fù)反饋的手段在一定程度上阻止SYN攻擊。

2.2.4分布式DNS負(fù)載均衡退讓策略

退讓策略是基于SYN Flood攻擊代碼的一個(gè)缺陷。SYN Flood程序有兩種攻擊方式，基于IP的和基于域名的。前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動(dòng)進(jìn)行域名解析，它們的相同之處為一旦攻擊開始，將不會(huì)再進(jìn)行域名解析。假設(shè)一臺(tái)服務(wù)器在遭受到SYN Flood攻擊后迅速撤換掉自身的IP地址，那么攻擊者繼續(xù)攻擊的只是一個(gè)沒有任何主機(jī)的空IP地址，而防御方只要將DNS解析更改到新的IP地址就能在很短的時(shí)間內(nèi)恢復(fù)用戶通過域名進(jìn)行的正常訪問。為了使假象更逼真，我們甚至可以犧牲一臺(tái)服務(wù)器讓攻擊者滿足攻擊的“效果”。只要攻擊者的瀏覽器不重起，由于DNS緩沖的原因，攻擊者訪問的仍然是原先的IP地址。

如今很多大電子商務(wù)網(wǎng)站實(shí)際上都會(huì)采用負(fù)載均衡架構(gòu)，基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYN Flood的免疫力，它能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上，攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器，一來這樣增加了攻擊者的成本，二來過多的DNS請(qǐng)求可以幫助我們追溯攻擊者真正的蹤跡（DNS請(qǐng)求不同于SYN攻擊，是需要返回?cái)?shù)據(jù)的，所以很難進(jìn)行IP偽裝）。

2.2.5防火墻QoS

防火墻一般工作在TCP層之上或IP層之下，工作在TCP層之上的防火墻稱為網(wǎng)關(guān)型防火墻，網(wǎng)關(guān)型防火墻布局中，客戶機(jī)與服務(wù)器之間并沒有真正的TCP連接，客戶機(jī)與服務(wù)器之間的所有數(shù)據(jù)交換都是通過防火墻代理的，外部的DNS解析也同樣指向防火墻，所以如果網(wǎng)站被攻擊，真正受到攻擊的是防火墻，雖然防火墻抗打擊能力較強(qiáng)，但是因?yàn)樗械腡CP報(bào)文都需要經(jīng)過防火墻轉(zhuǎn)發(fā)，所以效率比較低。這種架構(gòu)中由于客戶機(jī)并不直接與服務(wù)器建立連接，在TCP連接沒有完成時(shí)防火墻不會(huì)去向后臺(tái)的服務(wù)器建立新的TCP連接，所以攻擊者無法越過防火墻直接攻擊后臺(tái)服務(wù)器，只要防火墻本身做的足夠強(qiáng)壯，這種架構(gòu)可以抵抗相當(dāng)強(qiáng)度的SYN Flood攻擊。但是由于防火墻實(shí)際建立的TCP連接數(shù)為用戶連接數(shù)的兩倍（防火墻兩端都需要建立TCP連接），同時(shí)又代理了所有的來自客戶端的TCP請(qǐng)求和數(shù)據(jù)傳送，在系統(tǒng)訪問量較大時(shí)，防火墻自身的負(fù)荷會(huì)比較高，所以這種架構(gòu)并不能適用于大型網(wǎng)站。