最新CIW-03(拒绝服务攻击DDOS).pptVIP

* * * * * * * * * * * * 每个源地址都有一个状态与之对应，总共有四种状态： 　　初态：任何源地址刚开始的状态； 　　NEW状态：第一次出现或出现多次也不能断定存在的源地址的状态； 　　GOOD状态：断定存在的源地址所处的状态； 　　BAD状态：源地址不存在或不可达时所处的状态。 　　具体的动作和状态转换根据TCP头中的位码值决定： 　　1）监听到SYN包，如果源地址是第一次出现，则置该源地址的状态为NEW状态；如果是NEW状态或BAD状态；则将该包的RST位置1然后重新发出去，如果是GOOD状态不作任何处理。 　　2）监听到ACK或RST包，如果源地址的状态为NEW状态，则转为GOOD状态；如果是GOOD状态则不变；如果是BAD状态则转为NEW状态；如果是BAD状态则转为NEW状态。 　　3）监听到从服务器来的SYN ACK报文（目的地址为addr），表明服务器已经为从addr发来的连接请求建立了一个半连接，为防止建立的半连接过多，向服务器发送一个ACK包，建立连接，同时，开始计时，如果超时，还未收到ACK报文，证明addr不可达，如果此时addr的状态为GOOD则转为NEW状态；如果addr的状态为NEW状态则转为BAD状态；如果为addr的状态为BAD状态则不变 * * * * * * * * * * * * * * * * * * * * * * UD