城域网防范DDOS培训胶片.pptVIP

* * 攻击手段分类，很多攻击采用混合方式，如ICMP 下面提问几个问题，大家一起讨论一下 * TCP-proxy共有两个阶段，第一阶段防火墙代理服务器与客户端完成三次握手（①②③）并向真正的服务器发出syn(④)包；第二阶段从防火墙收到服务器的syn－ack开始，防火墙代理客户端与服务器完成确认，同时向客户端发送一个windowsize＝65535的ack包恢复在第一阶段被syn－ack（windowsize＝0）所关闭的窗口。 通过TCP代理功能，防火墙就能拦截所有到达的连接请求，并代表服务器建立与客户机的连接，代表客户机建立与服务器的连接。如果两个连接都成功地建立，防火墙就会将两个连接进行中继。这样防火墙就能很好的保护服务器不受SYN-Flood的攻击，同时防火墙有更严格的超时限制，以防止其自身的资源被 SYN 攻击耗尽。 在防火墙上可以检测特定接口SYN报文的接收速率来监控syn flood攻击，当特定接口SYN报文的接收速率超过设定的阈值时，通知系统目的主机受到SYN Flood攻击，并根据攻击防范配置决定是否启动TCP代理功能；当ACK报文接收速率和SYN报文接受速率之比大于7/8时，根据攻击防范配置决定是否关闭代理功能。当攻击发生时，对攻击记录日志。 对于一条正常的TCP全连接，通过的SYN报文不会超过三个，所以防火墙将会对每一个建立的TCP会话进行检测，如果通过的S