DDoS攻击原理及防范(5)

这时候内容完全不同了，再也收不到刚才那些正常的网络包，只有DDoS包。大家注意一下，这里所有的Syn Flood攻击包的源地址都是伪造的，给追查工作带来很大困难。这时在被攻击主机上积累了多少Syn的半连接呢？我们用netstat来看一下：
　　# netstat -an | grep SYN
　　 …
…
192.168.0.183.9　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.13　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.19　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.21　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.22　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.23　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.25　　 127.0.0.79.1801　　　　 0　　 0 24656　　 0 SYN_RCVD
192.168.0.183.37　　 127.0.0.79.1801　　 0 0 24656 0 SYN_RCVD
192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD
…
…  



　　其中SYN_RCVD表示当前未完成的TCP SYN队列，统计一下：

　　# netstat -an | grep SYN | wc -l
　　5273
　　# netstat -an | grep SYN | wc -l
　　5154
　　# netstat -an | grep SYN | wc -l
　　5267
　　…..

　　共有五千多个Syn的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。

　　这是在攻击发起后仅仅70秒钟左右时的情况。

　　DDoS的防范

　　到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

　　不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：

企业网管理员
ISP、ICP管理员
骨干网络运营商

　　企业网管理员

　　网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。

　　主机上的设置

　　几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
及时更新系统补丁