常见DDoS攻击之ACK flood

一、什么是ACK flood攻击

ACK Flood攻击是一种针对TCP连接的DDoS攻击方式，它发生在TCP连接建立之后，攻击者发送大量带有ACK标志位的数据包给目标服务器。这种攻击会使接收端服务器在处理这些数据包时消耗大量资源，因为对于每个收到的ACK数据包，服务器都需要检查其表示的连接是否存在以及状态是否合法，如果发现数据包不合法，如指向的目的端口未开放，则会回应RST包 。

二、ACK Flood攻击对服务器的具体影响有哪些

1. 资源消耗：当服务器接收到大量伪造的ACK数据包时，需要对每个数据包进行处理，检查其表示的连接是否存在以及状态是否合法。这个过程会消耗服务器的CPU资源，尤其是在高流量攻击下，可能会导致服务器处理性能下降。

2. 服务中断：如果攻击流量足够大，服务器可能会因为忙于处理这些伪造的ACK数据包而无法及时响应正常的请求，导致服务中断或质量下降。

3. 网络拥塞：攻击者可能利用带有超大载荷的ACK数据包来引起链路拥塞，影响正常数据包的传输。

4. 系统稳定性风险：持续的ACK Flood攻击可能会导致服务器操作系统协议栈回应大量RST包，从而增加系统崩溃或出现其他稳定性问题的风险。

5. 依赖会话转发的设备性能降低：在某些情况下，极高速率的变源变端口ACK Flood攻击可能会导致依赖会话转发的设备，如负载均衡器或防火墙，转发性能降低，甚至网络瘫痪。

6. 对特定服务的影响：某些TCP服务可能对ACK Flood攻击更为敏感，例如JSP服务器，在ACK小包冲击下可能难以处理正常的连接请求。

三、如何识别ACK flood攻击

1. 流量监控：监控网络流量是否有异常增加，特别是TCP ACK数据包的数量是否有不正常的峰值。根据Cloudflare的资料，攻击者试图用TCP ACK数据包使服务器过载，目标服务器被迫处理接收到的每个ACK数据包，消耗太多计算能力，以致无法为合法用户提供服务。

2. 检查连接状态：在TCP连接建立之后，所有传输的TCP报文都是带有ACK标志位的数据包。如果服务器接收到大量孤立的ACK数据包（即没有对应的SYN或之前的状态信息），这可能是ACK Flood攻击的迹象。

3. 分析TCP连接表：如果服务器的TCP连接表中突然出现大量半开放的连接，这也可能是ACK Flood攻击的结果。因为攻击者可能发送大量伪造的ACK数据包，导致服务器资源耗尽。

4. 使用抗DDoS设备：抗DDoS设备可以基于目的地址对ACK报文速率进行统计，当ACK报文速率超过阈值时启动源认证防御，通过白名单和黑名单机制来阻止恶意流量。

5. 端系统和中间系统处理方式：了解端系统和中间系统如何处理其收到的ACK报文，如果发现大量ACK报文导致系统资源消耗异常，这也可能是ACK Flood攻击的迹象。

6. 性能监控：监控服务器性能指标，如CPU和内存使用率。如果发现这些指标异常升高，尤其是在没有明显业务流量增加的情况下，这可能表明服务器正在遭受ACK Flood攻击。

四、ACK flood攻击有哪些防御手段

1. 使用高防CDN服务：CDN能够过滤掉与开放TCP连接无关的任何ACK数据包，确保恶意流量不会到达源服务器。由于CDN网络规模庞大，能够吸收大规模的DDoS攻击，对ACK洪水攻击具有很好的防御效果。

2. 基于目的地址对ACK报文速率进行统计：当ACK报文速率超过设定的阈值时，可以启动源认证防御机制。对于达到阈值的攻击流量，可以通过SYN验证算法将真实的报文加入白名单信任，而伪造的ACK报文则通过查询会话表直接丢弃。

3. 利用抗D设备：抗D设备可以对ACK报文进行速率统计和源认证防御，有效减轻服务器的负担。

4. 部署Web应用程序防火墙（WAF）：WAF可以提供额外的保护层，通过各种技术和加密挑战检测和防御HTTP泛洪攻击。

5. 流量分析和监控：通过监控流量和比较IP地址与IP声誉数据库中的数据，可以跟踪并拦截可能是HTTP泛洪攻击组成部分的异常活动。

6. 渐进式安全挑战：例如JavaScript计算挑战，可以检测流量是否由爬虫程序生成，从而抵御攻击。

7. 负载均衡器：通过提供缓冲和多种连接管理技术，负载均衡器可以帮助防止HTTP GET和POST请求影响Web服务器资源。

8. 基于云的DDoS防护：使用云端服务进行DDoS防护，可以快速识别可疑活动并做出响应。

9. 提高Web应用程序服务器连接限制：通过增加可以处理的并发HTTP连接数量，减少容易遭受HTTP泛洪攻击的漏洞。

10. 实施速率限制：限制来自指定IP地址的传入请求数，有助于防止DDoS攻击。

五、DDoS攻击防御解决方案（定制化）

拾域科技的DDoS防御，为您提供近1000G出口防护解决您面对大流量攻击的问题， 为您提供自主研发CC防护策略.针对攻击实时调用相应策略来应对正在进行的 CC 防攻， 已经应用在多个大型 CC 攻击用户中，体验效果好，误伤率可降为0。

5.1 产品优势

完全有效防御大流量DDOS攻击+定制CC攻击。

• 防DDOS攻击：为您提供近1000G出口防护解决您面对大流量攻击的问题。
• 防CC攻击：为您提供自主研发CC防护策略，针对攻击实时调用相应策略来应对正在进行的CC防攻，已经应用在多个大型CC攻击用户中，体验效果好，误伤率可降为0。

DDoS 防护为各行业提供针对性的防护解决方案，帮助用户抵御 DDoS攻击，保障业务连续性， 满足监管机构的合规性要求,包含:

• 硬件防火墙超千G防护；
• 网络应用层CC防护；
• 多个高防节点智能分流。

5.2 产品功能

DDoS高防是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下，推出的 付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP清洗，确保源站业务 稳定可靠。

精准流量清洗功能

支持T级攻击流量清洗功能，确保用户业务在遭受大流量DDoS攻击时仍然稳定可靠。

大流量防护功能

支持对SYN flood、ACK flood、UDP flood、ICMP flood、RST flood、FraggleAttack、Slowloris 、Application Attacks、Zero-day Attacks等攻击类型进行清洗。

CC防护功能

识别并阻断SQL注入、XSS跨站脚本攻击、CC攻击、恶意爬虫扫描、跨站请求伪造CSRF等攻击，保护Web服务安全稳定。

流量监控报表功能

从流量字节数和报文数两个维度展示正常流量和攻击流量的信息，支持查询最近30天的历史数据。

5.3 应用场景

网站类应用场景

针对Web系统面临的DDoS攻击，拥塞Web系统带宽、耗尽Web系统资源的CC攻击，DNS服务器被攻击等。

游戏类应用场景

针对TCP CC攻击有着丰富的防护经验，防御多种游戏类的DDoS攻击。

重大活动应用场景

Anti-CC、防刷单、防羊毛党保障您的活动促销安全，超大带宽、智能防黑保障您业务正常运行。