日韩福利视频,国产自产视频一区二区三区,五月天婷亚洲天综合网鲁鲁鲁

網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

DoS（Denial of Service拒絕服務）和DDoS（Distributed Denial of Service分布式拒絕服務）攻擊是大型網站和網絡服務器的安全威脅之一。2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。SYN Flood由于其攻擊效果好，已經成為目前最流行的DoS和DDoS攻擊手段。

　　SYN Flood利用TCP協議缺陷，發送了大量偽造的TCP連接請求，使得被攻擊方資源耗盡，無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手，首先客戶端發送一個包含SYN標志的數據包，其后服務器返回一個SYN/ACK的應答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包ACK，這樣才完成TCP連接。在服務器端發送應答包后，如果客戶端不發出確認，服務器會等待到超時，期間這些半連接狀態都保存在一個空間有限的緩存隊列中；如果大量的SYN包發到服務器端后沒有應答，就會使服務器端的TCP資源迅速耗盡，導致正常的連接不能進入，甚至會導致服務器的系統崩潰。

　　防火墻通常用于保護內部網絡不受外部網絡的非授權訪問，它位于客戶端和服務器之間，因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。針對SYN Flood，防火墻通常有三種防護方式：SYN網關、被動式SYN網關和SYN中繼。

　　SYN網關 防火墻收到客戶端的SYN包時，直接轉發給服務器；防火墻收到服務器的SYN/ACK包后，一方面將SYN/ACK包轉發給客戶端，另一方面以客戶端的名義給服務器回送一個ACK包，完成TCP的三次握手，讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時，有數據則轉發給服務器，否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多，所以這種方法能有效地減輕對服務器的攻擊。

　　被動式SYN網關 設置防火墻的SYN請求超時參數，讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包，服務器發往客戶端的SYN/ACK包、以及客戶端發往服務器的ACK包。這樣，如果客戶端在防火墻計時器到期時還沒發送ACK包，防火墻則往服務器發送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限，因此這樣能有效防止SYN Flood攻擊。

　　SYN中繼 防火墻在收到客戶端的SYN包后，并不向服務器轉發而是記錄該狀態信息然后主動給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務器發送SYN包并完成三次握手。這樣由防火墻做為代理來實現客戶端和服務器端的連接，可以完全過濾不可用連接發往服務器。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。

溫馨提示：喜歡本站的話，請收藏一下本站！

人人做人人澡人人爽欧美,国产主播一区二区,久久久精品五月天,羞羞视频在线观看免费

當前位置:蘿卜系統 > 網絡技術教程 > 詳細頁面

用防火墻防范SYN Flood攻擊

本類教程下載

系統下載排行