DDOS攻击原理及防护方法论

核心提示： 图片看不清楚？请点击这里查看原图（大图），图可以看到大量的SYN包没有ACK回应，DDOS攻击原理及防护方法论(5)，3.1.2 SYN Flood防护目前市面上有些防火墙具有SYN Proxy功能，这种方法一般是定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的

图片看不清楚？请点击这里查看原图（大图）。

图

可以看到大量的SYN包没有ACK回应。

3.1.2 SYN Flood防护

目前市面上有些防火墙具有SYN Proxy功能，这种方法一般是定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同安全区域（zone）中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。但是，这种方法在攻击流量较大的时候，连接出现较大的延迟，网络的负载较高，很多情况下反而成为整个网络的瓶颈；

Random Drop：随机丢包的方式虽然可以减轻服务器的负载，但是正常连接的成功率也会降低很多；

特征匹配：IPS上会常用的手段，在攻击发生的当时统计攻击报文的特征，定义特征库，例如过滤不带TCP Options 的syn 包等；

早期攻击工具（例如synkiller，xdos，hgod等）通常是发送64字节的TCP SYN报文，而主机操作系统在发起TCP连接请求时发送SYN 报文是大于64字节的。因此可以在关键节点上设置策略过滤64字节的TCP SYN报文，某些宣传具有防护SYN Flood攻击的产品就是这么做的。随着工具的改进，发出的TCP SYN 报文完全模拟常见的通用操作系统，并且IP头和TCP头的字段完全随机，这时就无法在设备上根据特定的规则来过滤攻击报文。这时就需要根据经验判断IP 包头里TTL值不合理的数据包并阻断，但这种手工的方法成本高、效率低。 图是某攻击工具属性设置。 