第9章 防火墙应用技术.ppt

在以上三次握手中，当客户端发送一个TCP连接请求给服务器端，服务器也发出了相应的响应数据报文之后,可能由于某些原因（如客户端突然死机或断网等原因），客户端不能接收到来自服务器端的确认数据报，这就造成了以上三次连接中的第一次和第二次握手的TCP半连接。由于服务器端发出了带SYN+ACK标记的报文，却并没有得到客户端返回相应的ACK报文，于是服务器就进入等待状态，并定期反复进行SYN+ACK报文重发，直到客户端确认收到为止。这样服务器端就会一直处于等待状态，使得CPU及其他资源严重消耗，不仅服务器可能崩溃，而且网络也可能处于瘫痪。 9.3 防火墙的主要应用 SYN Flood攻击正是利用了TCP连接的这样一个漏洞来实现攻击目的的。当恶意的客户端构造出大量的这种TCP半连接发送到服务器端时，服务器端就会一直陷入等待的过程中，并且耗用大量的CPU资源和内存资源来进行SYN+ACK报文的重发，最终使得服务器端崩溃。 2．用防火墙防御SYN Flood攻击 （1）两种主要类型防火墙（包过滤型和应用代理型防火墙）的防御原理 9.3 防火墙的主要应用 应用代理型防火墙的防御方法是客户端要与服务器建立TCP连接的三次握手过程中，充当代理角色，这样客户端要与服务器端建立一个TCP连接，就必须先与防火墙进行三次TCP握手，当客户端和防火墙三