• 服务器端会为每个请求创建一个链接,然后向client端发送创建链接时的回复,然后进行等待客户端发送第三次握
手数据包,这样会白白浪费资源。DDos就是利用这种方式进行攻击的。
• DDos攻击
简单的说就是想服务器发送链接请求,首先进行
第一步:客户端向服务器端发送连接请求数据包(1)
第二步:服务器向客户端回复连接请求数据包(2),然后服务器等待客户端发送tcp/ip链接的第三步数据包(3)
第三步:如果客户端不向服务器端发送最后一个数据包(3),则服务器须等待30s到2min中才能将此链接进行关
闭。当大量的请求只进行到第二步,而不进行第三步,服务器又大量的资源等待第三个数据包。则造成DDos攻
击。
• DDos预防(没有根治的办法,除非不用TCP/IP链接)、
- 确保服务器的系统文件是最新版本,并及时更新系统补丁
- 关闭不必要的服务
- 限制同时打开SYN的半连接数目
- 缩短SYN半连接的time out时间
- 正确设置防火墙
- 禁止对主机的非开放服务的访问
- 限制特定IP短地址的访问
- 启用防火墙的防DDos的属性
- 严格限制对外开放的服务器的向外访问
- 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
- 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻
击。 - 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了
对方入侵的机会