DDOS攻击原理及防护方法论

核心提示： 图SYN Cookie：就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，DDOS攻击原理及防护方法论(6)，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃，一旦该IP的连接得到验证则提高其信誉值，有些设备还采用了表结构来存放协议栈行为

图

SYN Cookie：就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。但SYN Cookie依赖于对方使用真实的IP地址，如果攻击者利用SOCK_RAW随机改写IP报文中的源地址，这个方法就没效果了。

3.1.3 商业产品的防护算法

syn cookie/syn proxy类防护算法：这种算法对所有的syn包均主动回应，探测发起syn包的源IP地址是否真实存在；如果该IP地址真实存在，则该IP会回应防护设备的探测包，从而建立TCP连接；大多数的国内外抗拒绝服务产品采用此类算法。

safereset算法：此算法对所有的syn包均主动回应，探测包特意构造错误的字段，真实存在的IP地址会发送rst包给防护设备，然后发起第2次连接，从而建立TCP连接；部分国外产品采用了这样的防护算法。

syn重传算法：该算法利用了TCP/IP协议的重传特性，来自某个源IP的第一个syn包到达时被直接丢弃并记录状态，在该源IP的第2个syn包到达时进行验证，然后放行。 

综合防护算法：结合了以上算法的优点，并引入了IP信誉机制。当来自某个源IP的第一个syn包到达时，如果该IP的信誉值较高，则采用syncookie算法；而对于信誉值较低的源IP，则基于协议栈行为模式，如果syn包得到验证，则对该连接进入syncookie校验，一旦该IP的连接得到验证则提高其信誉值。有些设备还采用了表结构来存放协议栈行为模式特征值，大大减少了存储量。