一、洪水——大自然對人類的報復(fù)



　　每一年，自然界都要用各種方式去報復(fù)人們對它做的一切，例如洪水。



　　每一年，人們都要為洪水后滿地的狼籍和可能造成的人員傷亡和財產(chǎn)損失而發(fā)愁。



　　為了抵抗洪水，人們砍伐樹木挖采巖石建造更高的堤壩；為了破壞這些堤壩，大自然發(fā)起更猛烈的洪水沖垮這些防護(hù)措施。



　　在大自然與人類抗衡的同時，網(wǎng)絡(luò)上也有人與人之間的抗衡。



　　每一年，有些人總要不斷試驗各種令某些網(wǎng)站長時間無法訪問的攻擊方法。



　　每一年，投資者都要因為這些網(wǎng)站被惡意停止所造成的經(jīng)濟(jì)損失頭痛。



　　為了抵抗這些人的攻擊，技術(shù)人員研究各種方法讓這些攻擊造成的損失降低；為了各種目的，攻擊者們研究更多的攻擊方法讓網(wǎng)站再次癱瘓。



　　這種攻擊被稱為“Denial of Service（DoS）”，臭名昭著的“拒絕服務(wù)”攻擊。



　　它通常使用不只一臺機(jī)器進(jìn)行攻擊，攻擊者能同時控制這些機(jī)器，這種結(jié)構(gòu)就是“Distributed”，分布式。所以，我們要討論的拒絕服務(wù)，默認(rèn)都是指“Distributed Denial of Service（DDoS）”，分布式拒絕服務(wù)。



　　二、面對洪水……



　　1.洪水以外的東西——被濫用的SYN拒絕服務(wù)（Synchronize Denial of Service）



　　當(dāng)一個地區(qū)即將發(fā)生洪水（或者已經(jīng)發(fā)生）的時候，當(dāng)?shù)鼐用竦谋憩F(xiàn)很少有鎮(zhèn)定的：東奔西跑的、收拾財物的、不知所措的……整個城鎮(zhèn)亂成一鍋粥，造成的后果就是街道交通混亂，誰也跑不了。



　　這個問題到了網(wǎng)絡(luò)上，就變成了一堆數(shù)據(jù)包只能在服務(wù)器外面亂撞而不入。



　　為什么會這樣？因為攻擊者使用了SYN攻擊。



　　要明白SYN攻擊的原理，要從連接建立的過程開始說起。從我們輸入一個網(wǎng)址到我們能看到這個網(wǎng)頁，機(jī)器在非常短的時間內(nèi)為我們做了三件重要的事情：



　　1.機(jī)器發(fā)送一個帶有“ SYN”（同步）標(biāo)志的數(shù)據(jù)包給服務(wù)器，請求連接；



　　2.服務(wù)器返回一個帶有SYN標(biāo)志和ACK（確認(rèn)）標(biāo)志數(shù)據(jù)包給機(jī)器；



　　3.機(jī)器也返回一個ACK確認(rèn)標(biāo)志數(shù)據(jù)包給服務(wù)器，數(shù)據(jù)傳輸建立。



　　這三步就叫做“三次握手”。



　　那么所謂的SYN攻擊是什么呢？讓我們再看第二步，服務(wù)器返回數(shù)據(jù)后，并不會跑開，而是等待對方再次返回確認(rèn)，問題就出在這里。如果一臺計算機(jī)發(fā)送SYN數(shù)據(jù)包后由于意外斷開了網(wǎng)絡(luò)，服務(wù)器返回的ACK就得不到回應(yīng)，而規(guī)范標(biāo)準(zhǔn)規(guī)定它必須“不見不散”，所以服務(wù)器就癡癡的等到夕陽下山，這期間內(nèi)它拒絕其他機(jī)器的連接請求。于是在其它機(jī)器看來，它們開不了某個服務(wù)器的頁面了。幸好在服務(wù)器的時間里，“夕陽下山”不過一瞬間，所以偶爾意外的一兩臺機(jī)器不回答它也很少影響大局?？墒菍τ趷阂夤粽邅碚f，這不是問題——他們使用一些特殊工具大量產(chǎn)生這種導(dǎo)致服務(wù)器等待的虛假IP地址的SYN數(shù)據(jù)包，由于這個IP地址根本沒有機(jī)器存在，自然不會有任何回應(yīng)，所以服務(wù)器只有傻乎乎的為這些數(shù)據(jù)包做了個列表，然后一個一個等下去！這些等待花去的時間累加起來就變成了影響正常數(shù)據(jù)傳輸?shù)脑?，因為攻擊者不停發(fā)送SYN數(shù)據(jù)包，服務(wù)器就無限的等下去，其他數(shù)據(jù)包就進(jìn)不去服務(wù)器了，于是，一切都完了。這是最常見最濫用的拒絕服務(wù)模式，現(xiàn)成的攻擊工具也很多，例如流行的Lion SYN Flood、xdos、獨裁者等，這些工具幾乎不需要什么高深知識就能用，因此SYN成為服務(wù)器和網(wǎng)絡(luò)管理員最恨最怕的攻擊。



　　其實SYN攻擊的出現(xiàn)與系統(tǒng)自身設(shè)計的疏忽有關(guān)，首先，SYN是利用了TCP協(xié)議規(guī)范的疏忽；其次，是系統(tǒng)做的后臺！*nix和Win2000/XP的網(wǎng)絡(luò)架構(gòu)允許用戶通過編程手動設(shè)置IP頭部，包括源IP、目標(biāo)IP等，這是產(chǎn)生虛假SYN包的關(guān)鍵。Win9x/Me的網(wǎng)絡(luò)架構(gòu)不允許用戶這樣做，因此別指望Win9x/Me下使用這些工具能對服務(wù)器構(gòu)成威脅了。



　　目前依然沒有任何有效的軟措施能抵擋SYN攻擊，唯一的辦法只有使用硬件防火墻，它從物理線路上直接過濾掉虛假的SYN數(shù)據(jù)包，但是價格昂貴，很多人只能痛心的看著他們的服務(wù)器被SYN數(shù)據(jù)包折磨得CPU持久不下100%……



　　有人說了，“難怪我的機(jī)器經(jīng)常慢，原來有人SYN我！”等等等等，先聽我說完。SYN攻擊因為數(shù)據(jù)包很小，不能造成阻塞網(wǎng)絡(luò)的危害，對沒有開任何TCP服務(wù)的用戶是不起作用的，即使有人正在SYN攻擊你，你也察覺不到異常情況，除非你開了WEB服務(wù)之類。