syn算法

⑴ SYN COOKIE 防火墙具体的工作原理（转发内容细节、具体算法）

SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

⑵ 属于网络协议的攻击有哪几种

1. TCP/IP 协议的脆弱性

1.1 不能提供可靠的身份验证

• TCP/IP 协议以 32 bit 的 IP 地址来作为网络节点的唯一标识，而 IP 地址只是用户软件设置中的一个参数，因而是可以随意修改的。

• 对 UDP 来说，是根据这个 IP 地址来唯一标识通信对方。 TCP 则通过三次握手，使情况稍有改善。 TCP 中的每个报文都含有一个标识本报文在整个通信流中位置的 32 bit 序列号，通信双方通过序列号来确认数据的有效性。

• 由于 TCP 设计三次握手过程本身并不是为了身份验证，只是提供同步确认和可靠通信，虽然这也能够提供一定的身份验证的支持，但这种支持很薄弱。

• 由于 TCP/IP 不能对节点上的用户进行有效的身份认证，服务器无法鉴别登录用户的身份有效性，攻击者可以冒充某个可信节点的 IP 地址，进行 IP 欺骗攻击.

• 其次，由于某些系统的 TCP 序列号是可以预测的，攻击者可以构造一个TCP'数据包，对网络中的某个可信节点进行攻击。

1.2 不能有效防止信息泄漏

• IPv4 中没有考虑防止信息泄漏，在 IP 、 TCP 、 UDP 中都没有对数据进行加密。 IP 协议是无连接的协议，一个 IP 包在传输过程中很可能会经过很多路由器和网段，在其中的任何一个环节都很容易进行窃昕 。攻击者只需简单地安装一个网络嗅探器，就可以看到通过本节点的所有网络数据包。

1.3 没有提供可靠的信息完整性验证手段

• 在 IP 协议中，仅对 IP 头实现校验和保护

• 在UDP 协议中，对整个报文的校验和检查是一个可选项，并且对 UDP 报文的丢失不做检查。

• 在 TCP 协议中，虽然每个报文都经过校验和检查，并且通过连续的序列号来对包的顺序和完整进行检查，保证数据的可靠传输。但是，校验算法中没有涉及加密和密码验证，很容易对报文内容进行修改，再重新计算校验和

1.4 协议没有手段控制资源占杳和分配

TCP/IP 中，对资源占杳和分配设计的一个基本原则是自觉原则。如参加 TCP通信的一方发现上次发送的数据报丢失，则主动将通信速率降至原来的一半。这样，也给恶意的网络破坏者提供了机会 c 如网络破坏者可以大量的发 IP 报，造成网络阻塞，也可以向一台主机发送大量的 SYN 包从而大量占有该主机的资源 (SYN Flood) 。这种基于资源占用造成的攻击被称为拒绝服务攻击( DOS)

2.常见 TCP/IP 协议攻击方法分析

2.1 IP 欺骗( IP Spoofing)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。
防范措施

• 各个网络 ISP 应该限制源地址为外部地址的 IP 数据包进入互联网

• 合理的配置防火墙，限制数据包的源地址为内部网络的数据包进入网络。

2.2 TCP 会话劫持 (TCP sessJOn hijacking)

image.png

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

• 攻击者看到被假冒主机和目标主机建立一个连接并进行身份认证后，通过对数据包捕获和进行分析，就可以得到连接的序列号。

• 一旦得到正确的序列号就可以发送一个假冒的 TCP 分段，接管已经建立的连接。这样，被假冒主机发送的数据包都会被目标主机忽略，因为它们的序列号会被目标主机认为不正确。

防范措施
最主要的方法是在传输层对数据进行加密。

2.3 拒绝服务( Denial Of Service )

拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。

2.3.1 SYN 淹没 (SYN Flooding)

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

image.png

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。
防范措施

• 无效连接监视释放
  这种方法不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种方法属于入门级的SYN Flood方法。

• 延缓TCB分配方法
  从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的方法是使用Syn Cache和Syn Cookie技术。

  Syn Cache技术：
  这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYN ACK报文，并在一个专用HASH表（Cache）中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYN ACK中需要使用一个己方的Sequence Number，这个数字不能被对方猜到，否则对于某些稍微智能一点的Syn Flood攻击软件来说，它们在发送Syn报文后会发送一个ACK报文，如果己方的Sequence Number被对方猜测到，则会被其建立起真正的连接。因此一般采用一些加密算法生成难于预测的Sequence Number。
  Syn Cookie技术：
  对于SYN攻击，Syn Cache虽然不分配TCB，但是为了判断后续对方发来的ACK报文中的Sequence Number的正确性，还是需要使用一些空间去保存己方生成的Sequence Number等信息，也造成了一些资源的浪费。
  Syn Cookie技术则完全不使用任何存储资源，这种方法比较巧妙，它使用一种特殊的算法生成Sequence Number，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比较固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其是否与对方回应报文中的（Sequence Number-1）相同，从而决定是否分配TCB资源。

• 使用SYN Proxy防火墙
  Syn Cache技术和Syn Cookie技术总的来说是一种主机保护技术，需要系统的TCP/IP协议栈的支持，而目前并非所有的操作系统支持这些技术。因此很多防火墙中都提供一种SYN代理的功能，其主要原理是对试图穿越的SYN请求进行验证后才放行，下图描述了这种过程：

  image.png

从上图（左图）中可以看出，防火墙在确认了连接的有效性后，才向内部的服务器（Listener）发起SYN请求，在右图中，所有的无效连接均无法到达内部的服务器。
采用这种方式进行防范需要注意的一点就是防火墙需要对整个有效连接的过程发生的数据包进行代理，如下图所示：

image.png

因为防火墙代替发出的SYN ACK包中使用的序列号为c，而服务器真正的回应包中序列号为c’，这其中有一个差值|c-c’|，在每个相关数据报文经过防火墙的时候进行序列号的修改。

TCP Safe Reset技术：
这也是防火墙Syn代理的一种方式，其工作过程如下图所示：

image.png

这种方法在验证了连接之后立即发出一个Safe Reset命令包，从而使得Client重新进行连接，这时出现的Syn报文防火墙就直接放行。在这种方式中，防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。这需要客户端的TCP协议栈支持RFC 793中的相关约定，同时由于Client需要两次握手过程，连接建立的时间将有所延长。

2.3.2 死亡之 Ping(Ping O' Death )

死亡之 Ping 是利用 ICMP 协议的一种碎片攻击 。攻击者发送一个长度超过 65 535Byte 的 Echo Request 数据包，目标主机在重组分片的时候会造成事先分配的 65 535 Byt 字节缓冲区溢出，系统通常会崩愤或挂起

IP 数据包的最大长度是 65 535 (2 16 - 1) Byte，其中包括包头长度(如果 IP 选项末指定，一般为 20 B)超过 MTU( Maximum Transmission Unit) 的数据包被分割成小的数据包，在接受端重新组装。一般以太网的MTU 为 11500 Byte ，互联网上的 MTU 通常是 576 Byte ICMP 回应请求放在 IP 数据包中，其中有 8 Byt 的 ICMP头信息，接下来是 "Ping" 请求的数据宇节的数目。因此数据区所允许的最大尺寸为 65 535 - 20 - 8 = 65 507Byte

image.png

分段后的 IP 包要在接收端的 IP 层进行重组，这样"死亡之 Ping"就可以再发送一个回应请求数据包，使它的数据包中的数据超过 65 507 Byte ，使得某些系统的 IP 分段组装模块出现异常。因为在 IP 分段组装的过程中，它通过每一个 IP 分段中的偏移量来决定每一个分段在整个 IP 包中的位置，最后一个分段中，如果 IP 包的长度大于 65 507 Byte各个分段组装后就会超过 IP 包的最大长度。某些操作系统要等到将所有的分段组装完后才对 IP 包进行处理，所以就存在这样一种内部缓冲区或内部变量溢出的可能性，这样会导致系统崩愤或重启。

防范措施

• 可以利用防火墙来阻止 Ping ，然而这样也会阻挡一些合法应用。所以只要阻止被分段的 Ping ，这样在大多数系统上允许一般合法的 64 Byt 的 Ping 通过，挡住了那些长度大于 MTU 的 ICMP 数据包.

• 这种攻击能使系统崩溃的原因因系统不同而异.有的可能因为内核中固定大小的缓冲区因 IP 数据包过大而越界，损坏了其它数据或编码;有的则可能因为用一个无符号的 16 bit 变量来保存数据包的长度和相关变量，当这些变量的值超过 65 535 Byte 时，变量不再与其数值一致，从而引发异常。因此可以为相应的系统打上补丁。

2.3.3 RST 和 FIN 攻击( RST and FIN attack)

在 TCP 包中有 6 个标志位来指示分段的状态。其中 RST 用来复位一个连接， FIN 表示没有数据要发送了攻击者经常利用这两个标志位进行拒绝服务攻击。他们先分析通过目标主机和受骗主机之间的 IP 数据包，计算出从受骗主机发往目标主机的下一个 TCP 段的序列号，然后产生一个带有 RST 位设置的 TCP 段，将其放在假冒源 IP 地址的数据包中发往目标主机，目标主机收到后就关闭与受骗主机的连接。
利用 FIN 位的攻击与 RST 位的攻击很相似。攻击者预测到正确的序列号后，使用它创建一个带 FIN 位的 TCP 分段，然后发送给目标主机，好像受骗主机没有数据要发送了，这样，由受骗主机随后发出的 TCP 段都会目标主机认为是网络错误而忽略。

2.3.6 Smurf攻击

通过地址欺骗，并使用回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞

• 黑客锁定一个被攻击的主机（通常是一些Web服务器）；

• 黑客寻找可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；

• 黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；

• 中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；

• 中间代理主机对被攻击的网络进行响应。

2.3.7 Land 攻击

用一个特别打造的SYN包，其原地址和目标地址都被设置成某一个服务器地址。此举将导致服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时
防御方法：
这类攻击的检测方法相对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

2.3.8 UDP FLOOD攻击

UDP不需要像TCP那样进行三次握手，运行开销低，不需要确认数据包是否成功到达目的地。这就造成UDP泛洪攻击不但效率高，而且还可以在资源相对较少的情况下执行。UDP FLOOD可以使用小数据包(64字节)进行攻击,也可以使用大数据包(大于1500字节,以太网MTU为1500字节)进行攻击。大量小数据包会增大网络设备处理数据包的压力；而对于大数据包，网络设备需要进行分片、重组，最终达到的效果就是占用网络传输接口的带宽、网络堵塞、服务器响应慢等等。
防御方案： 限制每秒钟接受到的流量(可能产生误判)；通过动态指纹学习(需要攻击发生一定时间)，将非法用户加入黑名单。

2.3.9 泪滴攻击

“teardrop”,又称“泪滴”：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动，达到攻击者需要的拒绝服务的目的。

3. DOS与DDOS区别

3.1 DOS

“DoS”是Denial of Service，拒绝服务的缩写。所谓的拒绝服务是当前网络攻击手段中最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而最值得注意的是，攻击者在此攻击中并不入侵目标服务器或目标网络设备，单纯利用网络缺陷或者暴力消耗即可达到目的。
从原理上来说，无论攻击者的攻击目标(服务器、计算机或网络服务)的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以攻击者总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。
从技术分类的角度上来说，最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击服务器或计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

在网络还不发达的时候，单一的DoS攻击一般是采用一对一的方式，也就是攻击者直接利用自己的计算机或者设备，对攻击目标发起DoS攻击。当攻击目标处在硬件性能低下、网络连接情况不好等情况的时候，一对一的DoS攻击效果是非常明显的，很有可能直接一个攻击者就搞定一个网站或者一个服务器，让它拒绝服务。

3.2 DDOS

随着计算机和网络技术的发展，硬件设备的处理性能加速度增长，成本也变得非常低廉，网络的快速发展更是让带宽、出入口节点宽度等大大的提升，这让传统的DoS攻击很难凑效。

随着这样情况的出现，攻击者研究出了新的攻击手段，也就是DDoS。

DDoS是在传统的DoS攻击基础之上产生的一种新的攻击方式，即Distributed Denial Of Service，分布式拒绝服务攻击。
如果说计算机与网络的处理能力比以往加大了10倍的话(示例数据，没有实质意义)，那攻击者使用10台计算机同时进行攻击呢？也就达到了可以让目标拒绝服务的目的。简单来说，DDoS就是利用更多的计算机来发起攻击。

就技术实现方式来分析，分布式拒绝服务攻击就是攻击者利用入侵手段，控制几百台，或者成千上万台计算机(一般被控制的计算机叫做傀儡主机，或者口头被网络安全相关人员称为“肉鸡”)，然后在这些计算机上安装大量的DDoS程序。这些程序接受来自攻击者的控制命令，攻击者同时启动全部傀儡主机向目标服务器发起拒绝服务攻击，形成一个DoS攻击群，猛烈的攻击目标，这样能极为暴力的将原本处理能力很强的目标服务器攻陷。

3.3 区别

通过上面的分析，可以看出DDoS与DoS的最大区别是数量级的关系，DoS相对于DDoS来说就像是一个个体，而DDoS是无数DoS的集合。另一方面，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。

⑶ 服务器给攻击后会有哪几种影响

DoS攻击是网络攻击最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法捉供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而在此攻击中并不入侵目标服务器或目标网络设备。这些服务资源包括网络宽带、系统堆栈、开放的进程。或者允许的连接。这种攻击会导致资源耗尽，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。
DoS攻击有许多种类，主要有Land攻击、死亡之ping、泪滴、Smurf攻击及SYN洪水等。
据统计，在所有黑客攻击事件中，syn洪水攻击是最常见又最容易被利用的一种DoS攻击手法。
1.攻击原理
要理解SYN洪水攻击，首先要理解TCP连接的三次握手过程(Three-wayhandshake)。在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手:建立连接时，客户端发送SYN包((SYN=i)到服务器，并进入SYN SEND状态，等待服务器确认;
第二次握手:服务器收到SYN包，必须确认客户的SYN (ACK=i+1 )，同}Jj’自己也发送一个SYN包((SYN j)}即SYN+ACK包，此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN十ACK包，向服务器发送确认包ACK(ACK=j+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手，客户端与服务器开始传送数据。
在上述过程中，还有一些重要的概念:
半连接:收到SYN包而还未收到ACK包时的连接状态称为半连接，即尚未完全完成三次握手的TCP连接。
半连接队列:在三次握手协议中，服务器维护一个半连接队列，该队列为每个客户端的SYN包(SYN=i )开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_ RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。
Backlog参数:表示半连接队列的最大容纳数目。
SYN-ACK重传次数:服务器发送完SYN-ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息、从半连接队列中删除。注意，每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
上面三个参数对系统的TCP连接状况有很大影响。
SYN洪水攻击属于DoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从图4-3可看到，服务器接收到连接请求(SYN=i )将此信息加入未连接队列，并发送请求包给客户( SYN=j,ACK=i+1 )，此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN 请求
被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。过程如下:
攻击主机C(地址伪装后为C')-----大量SYN包---->彼攻击主机
C'<-------SYN/ACK包----被攻击主机
由于C’地址不可达，被攻击主机等待SYN包超时。攻击主机通过发人量SYN包填满未连接队列，导致正常SYN包被拒绝服务。另外，SYN洪水攻击还可以通过发大量ACK包进行DoS攻击。
2．传统算法
抵御SYN洪水攻击较常用的方法为网关防火墙法、中继防火墙法和SYNcookies。为便于叙述，将系统拓扑图简化为图4-4。图中，按网络在防火墙内侧还是外侧将其分为内网、外网(内网是受防火墙保护的)。其次，设置防火墙的SYN重传计时器。超时值必须足够小，避免backlog队列被填满;同时又要足够大保证用户的正常通讯。

(1) 网关防火墙法
网关防火墙抵御攻击的基本思想是:对于内网服务器所发的SYN/ACK包，防火墙立即发送ACK包响应。当内网服务器接到ACK包后，从backlog队列中移出此半连接，连接转为开连接，TCP连接建成。由于服务器处理开连接的能力比处理半连接大得多，这种方法能有效减轻对内网服务器的SYN攻击，能有效地让backlog队列处于未满状态，同时在重传一个未完成的连接之前可以等待更长时间。
以下为算法完整描述:
第一步，防火墙截获外网客户端发向内网服务器SYN数据包，允许其通过，抵达内网服务器。同时在连接跟踪表中记录此事件.
第二步，防火墙截获服务器发向客户端的SYN/ACK响应包，用连接跟踪表中记录的相应SYN包匹配它.
第三步，防火墙让截获的SYN/ACK继续进行(发向客户端)。同时，向内网服务器发送ACK包。这样，对服务器来说，TCP连接三次握手已经完成。系统在backlog队列中删掉此半连接.
第四步，看此TCP连接是否有效，相应产生两种解决方法。如果客户端的连接尝试是有效的，那么防火墙将接到来自客户端的ACK包，然后防火墙将它转发到服务器。服务器会忽略这个冗余的ACK包，这在TCP协议中是允许的.
如果客户端的IP地址并不存在，那么防火墙将收不到来自客户端的ACK包，重转计时器将超时。这时，防火墙重传此连接.
(2) 中继防火墙法
中继防火墙抵御攻击的思想是:防火墙在向内网服务器发SYN包之前，首先完成与外网的三次握手连接，从而消除SYN洪水攻击的成立条件。
以下为算法完整描述:
第一步，防火墙截获外网客户端发向内网服务器SYN数据包.
第二步，防火墙并不直接向内网发SYN数据包，而是代替内网服务器向外网发SYNIACK数据包.
第三步，只有接到外网的ACK包，防火墙向内网发SYN包.
第四步，服务器应答SYN/ACK包.
第五步，防火墙应答ACK包.
(3) 分析
首先分析算法的性能，可以看出:为了提高效率，上述算法使用了状态检测等机制(可通过本系统的基本模块层得以实现)
对于非SYN包(CSYN/ACK及ACK包)，如果在连线跟踪信息表未查找到相应项，则还要匹配规则库，而匹配规则库需比较诸多项(如IP地址、端口号等)，花费较大，这会降低防火墙的流量。另外，在中继防火墙算法中，由于使用了SYN包代理，增加了防火墙的负荷，也会降低防火墙的流量。
其次，当攻击主机发ACK包，而不是SYN包，算法将出现安全漏洞。一般地，TCP连接从SYN包开始，一旦 SYN包匹配规则库，此连接将被加到连接跟踪表中，并且系统给其60s延时。之后，当接到ACK包时，此连接延时突然加大到3600s。如果，TCP连接从ACK包开始，同时此连接未在连接跟踪表中注册，ACK包会匹配规则库。如匹配成功，此连接将被加到连接跟踪表中，同时其延时被设置为3600s。即使系统无响应，此连接也不会终止。如果攻击者发大量的ACK包，就会使半连接队列填满，导致无法建立其它TCP连接。此类攻击来自于内网。因为，来自于外网的ACK包攻击，服务器会很快发RST包终止此连接(SOs>。而对于内网的外发包，其限制规则的严格性要小的多。一旦攻击者在某时间段内从内网发大量ACK包，并且速度高于防火墙处理速度，很容易造成系统瘫痪。
(4) SYN cookies
Linux支持SYN cookies，它通过修改TCP协议的序列号生成方法来加强抵御SYN洪水攻击能力。在TCP协议中，当收到客户端的SYN请求时，服务器需要回复SYN-SACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie(回复包的SYN序列号)给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到。cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。

⑷ 四层负载均衡和七层负载均衡的区别

（一）
简单理解四层和七层负载均衡:
① 所谓四层就是基于IP+端口的负载均衡；七层就是基于URL等应用层信息的负载均衡；同理，还有基于MAC地址的二层负载均衡和基于IP地址的三层负载均衡。 换句换说，二层负载均衡会通过一个虚拟MAC地址接收请求，然后再分配到真实的MAC地址；三层负载均衡会通过一个虚拟IP地址接收请求，然后再分配到真实的IP地址；四层通过虚拟IP+端口接收请求，然后再分配到真实的服务器；七层通过虚拟的URL或主机名接收请求，然后再分配到真实的服务器。
② 所谓的四到七层负载均衡，就是在对后台的服务器进行负载均衡时，依据四层的信息或七层的信息来决定怎么样转发流量。 比如四层的负载均衡，就是通过发布三层的IP地址（VIP），然后加四层的端口号，来决定哪些流量需要做负载均衡，对需要处理的流量进行NAT处理，转发至后台服务器，并记录下这个TCP或者UDP的流量是由哪台服务器处理的，后续这个连接的所有流量都同样转发到同一台服务器处理。七层的负载均衡，就是在四层的基础上（没有四层是绝对不可能有七层的），再考虑应用层的特征，比如同一个Web服务器的负载均衡，除了根据VIP加80端口辨别是否需要处理的流量，还可根据七层的URL、浏览器类别、语言来决定是否要进行负载均衡。举个例子，如果你的Web服务器分成两组，一组是中文语言的，一组是英文语言的，那么七层负载均衡就可以当用户来访问你的域名时，自动辨别用户语言，然后选择对应的语言服务器组进行负载均衡处理。
③ 负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。
1、负载均衡分为L4 switch（四层交换），即在OSI第4层工作，就是TCP层啦。此种Load Balance不理解应用协议（如HTTP/FTP/MySQL等等）。例子：LVS，F5。
2、另一种叫做L7 switch（七层交换），OSI的最高层，应用层。此时，该Load Balancer能理解应用协议。例子： haproxy，MySQL Proxy。
注意：上面的很多Load Balancer既可以做四层交换，也可以做七层交换。
（二）
负载均衡设备也常被称为"四到七层交换机"，那么四层和七层两者到底区别在哪里？
第一，技术原理上的区别。
所谓四层负载均衡，也就是主要通过报文中的目标地址和端口，再加上负载均衡设备设置的服务器选择方式，决定最终选择的内部服务器。
以常见的TCP为例，负载均衡设备在接收到第一个来自客户端的SYN 请求时，即通过上述方式选择一个最佳的服务器，并对报文中目标IP地址进行修改(改为后端服务器IP），直接转发给该服务器。TCP的连接建立，即三次握手是客户端和服务器直接建立的，负载均衡设备只是起到一个类似路由器的转发动作。在某些部署情况下，为保证服务器回包可以正确返回给负载均衡设备，在转发报文的同时可能还会对报文原来的源地址进行修改。

所谓七层负载均衡，也称为“内容交换”，也就是主要通过报文中的真正有意义的应用层内容，再加上负载均衡设备设置的服务器选择方式，决定最终选择的内部服务器。
以常见的TCP为例，负载均衡设备如果要根据真正的应用层内容再选择服务器，只能先代理最终的服务器和客户端建立连接(三次握手)后，才可能接受到客户端发送的真正应用层内容的报文，然后再根据该报文中的特定字段，再加上负载均衡设备设置的服务器选择方式，决定最终选择的内部服务器。负载均衡设备在这种情况下，更类似于一个代理服务器。负载均衡和前端的客户端以及后端的服务器会分别建立TCP连接。所以从这个技术原理上来看，七层负载均衡明显的对负载均衡设备的要求更高，处理七层的能力也必然会低于四层模式的部署方式。
第二，应用场景的需求。
七层应用负载的好处，是使得整个网络更"智能化"。例如访问一个网站的用户流量，可以通过七层的方式，将对图片类的请求转发到特定的图片服务器并可以使用缓存技术；将对文字类的请求可以转发到特定的文字服务器并可以使用压缩技术。当然这只是七层应用的一个小案例，从技术原理上，这种方式可以对客户端的请求和服务器的响应进行任意意义上的修改，极大的提升了应用系统在网络层的灵活性。很多在后台，例如Nginx或者Apache上部署的功能可以前移到负载均衡设备上，例如客户请求中的Header重写，服务器响应中的关键字过滤或者内容插入等功能。
另外一个常常被提到功能就是安全性。网络中最常见的SYN Flood攻击，即黑客控制众多源客户端，使用虚假IP地址对同一目标发送SYN攻击，通常这种攻击会大量发送SYN报文，耗尽服务器上的相关资源，以达到Denial of Service(DoS)的目的。从技术原理上也可以看出，四层模式下这些SYN攻击都会被转发到后端的服务器上；而七层模式下这些SYN攻击自然在负载均衡设备上就截止，不会影响后台服务器的正常运营。另外负载均衡设备可以在七层层面设定多种策略，过滤特定报文，例如SQL Injection等应用层面的特定攻击手段，从应用层面进一步提高系统整体安全。
现在的7层负载均衡，主要还是着重于应用HTTP协议，所以其应用范围主要是众多的网站或者内部信息平台等基于B/S开发的系统。 4层负载均衡则对应其他TCP应用，例如基于C/S开发的ERP等系统。
第三，七层应用需要考虑的问题。

1：是否真的必要，七层应用的确可以提高流量智能化，同时必不可免的带来设备配置复杂，负载均衡压力增高以及故障排查上的复杂性等问题。在设计系统时需要考虑四层七层同时应用的混杂情况。
2：是否真的可以提高安全性。例如SYN Flood攻击，七层模式的确将这些流量从服务器屏蔽，但负载均衡设备本身要有强大的抗DDoS能力，否则即使服务器正常而作为中枢调度的负载均衡设备故障也会导致整个应用的崩溃。
3：是否有足够的灵活度。七层应用的优势是可以让整个应用的流量智能化，但是负载均衡设备需要提供完善的七层功能，满足客户根据不同情况的基于应用的调度。最简单的一个考核就是能否取代后台Nginx或者Apache等服务器上的调度功能。能够提供一个七层应用开发接口的负载均衡设备，可以让客户根据需求任意设定功能，才真正有可能提供强大的灵活性和智能性。

（三）
负载均衡四七层介绍:
负载均衡（Load Balance）建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
负载均衡有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。
本文所要介绍的负载均衡技术主要是指在均衡服务器群中所有服务器和应用程序之间流量负载的应用，目前负载均衡技术大多数是用于提高诸如在Web服务器、FTP服务器和其它关键任务服务器上的Internet服务器程序的可用性和可伸缩性。
负载均衡技术分类
目前有许多不同的负载均衡技术用以满足不同的应用需求，下面从负载均衡所采用的设备对象、应用的网络层次（指OSI参考模型）及应用的地理结构等来分类。
软/硬件负载均衡
软件负载均衡解决方案是指在一台或多台服务器相应的操作系统上安装一个或多个附加软件来实现负载均衡，如DNS Load Balance，CheckPoint Firewall-1 ConnectControl等，它的优点是基于特定环境，配置简单，使用灵活，成本低廉，可以满足一般的负载均衡需求。
软件解决方案缺点也较多，因为每台服务器上安装额外的软件运行会消耗系统不定量的资源，越是功能强大的模块，消耗得越多，所以当连接请求特别大的时候，软件本身会成为服务器工作成败的一个关键；软件可扩展性并不是很好，受到操作系统的限制；由于操作系统本身的Bug，往往会引起安全问题。
硬件负载均衡解决方案是直接在服务器和外部网络间安装负载均衡设备，这种设备我们通常称之为负载均衡器，由于专门的设备完成专门的任务，独立于操作系统，整体性能得到大量提高，加上多样化的负载均衡策略，智能化的流量管理，可达到最佳的负载均衡需求。
负载均衡器有多种多样的形式，除了作为独立意义上的负载均衡器外，有些负载均衡器集成在交换设备中，置于服务器与Internet链接之间，有些则以两块网络适配器将这一功能集成到PC中，一块连接到Internet上，一块连接到后端服务器群的内部网络上。
一般而言，硬件负载均衡在功能、性能上优于软件方式，不过成本昂贵。
本地/全局负载均衡

负载均衡从其应用的地理结构上分为本地负载均衡(Local Load Balance)和全局负载均衡(Global Load Balance，也叫地域负载均衡)，本地负载均衡是指对本地的服务器群做负载均衡，全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。
本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题，并且不需花费昂贵开支购置性能卓越的服务器，充分利用现有设备，避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。即使是再给现有服务器扩充升级，也只是简单地增加一个新的服务器到服务群中，而不需改变现有网络结构、停止现有的服务。
全局负载均衡主要用于在一个多区域拥有自己服务器的站点，为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器，从而获得最快的访问速度，也可用于子公司分散站点分布广的大公司通过Intranet（企业内部互联网）来达到资源统一合理分配的目的。
网络层次上的负载均衡
针对网络上负载过重的不同瓶颈所在，从网络的不同层次入手，我们可以采用相应的负载均衡技术来解决现有问题。
随着带宽增加，数据流量不断增大，网络核心部分的数据接口将面临瓶颈问题，原有的单一线路将很难满足需求，而且线路的升级又过于昂贵甚至难以实现，这时就可以考虑采用链路聚合（Trunking）技术。
链路聚合技术（第二层负载均衡）将多条物理链路当作一条单一的聚合逻辑链路使用，网络数据流量由聚合逻辑链路中所有物理链路共同承担，由此在逻辑上增大了链路的容量，使其能满足带宽增加的需求。
现代负载均衡技术通常操作于网络的第四层或第七层。第四层负载均衡将一个Internet上合法注册的IP地址映射为多个内部服务器的IP地址，对每次 TCP连接请求动态使用其中一个内部IP地址，达到负载均衡的目的。在第四层交换机中，此种均衡技术得到广泛的应用，一个目标地址是服务器群VIP（虚拟 IP，Virtual IP address）连接请求的数据包流经交换机，交换机根据源端和目的IP地址、TCP或UDP端口号和一定的负载均衡策略，在服务器IP和VIP间进行映射，选取服务器群中最好的服务器来处理连接请求。
第七层负载均衡控制应用层服务的内容，提供了一种对访问流量的高层控制方式，适合对HTTP服务器群的应用。第七层负载均衡技术通过检查流经的HTTP报头，根据报头内的信息来执行负载均衡任务。
第七层负载均衡优点表现在如下几个方面：
通过对HTTP报头的检查，可以检测出HTTP400、500和600系列的错误信息，因而能透明地将连接请求重新定向到另一台服务器，避免应用层故障。
可根据流经的数据类型（如判断数据包是图像文件、压缩文件或多媒体文件格式等），把数据流量引向相应内容的服务器来处理，增加系统性能。
能根据连接请求的类型，如是普通文本、图象等静态文档请求，还是asp、cgi等的动态文档请求，把相应的请求引向相应的服务器来处理，提高系统的性能及安全性。
第七层负载均衡受到其所支持的协议限制（一般只有HTTP），这样就限制了它应用的广泛性，并且检查HTTP报头会占用大量的系统资源，势必会影响到系统的性能，在大量连接请求的情况下，负载均衡设备自身容易成为网络整体性能的瓶颈。
负载均衡策略
在实际应用中，我们可能不想仅仅是把客户端的服务请求平均地分配给内部服务器，而不管服务器是否宕机。而是想使Pentium III服务器比Pentium II能接受更多的服务请求，一台处理服务请求较少的服务器能分配到更多的服务请求，出现故障的服务器将不再接受服务请求直至故障恢复等等。
选择合适的负载均衡策略，使多个设备能很好的共同完成任务，消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。在各负载均衡方式中，针对不同的应用需求，在OSI参考模型的第二、三、四、七层的负载均衡都有相应的负载均衡策略。
负载均衡策略的优劣及其实现的难易程度有两个关键因素：一、负载均衡算法，二、对网络系统状况的检测方式和能力。
考虑到服务请求的不同类型、服务器的不同处理能力以及随机选择造成的负载分配不均匀等问题，为了更加合理的把负载分配给内部的多个服务器，就需要应用相应的能够正确反映各个服务器处理能力及网络状态的负载均衡算法：
轮循均衡（Round Robin）：每一次来自网络的请求轮流分配给内部中的服务器，从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。
权重轮循均衡（Weighted Round Robin）：根据服务器的不同处理能力，给每个服务器分配不同的权值，使其能够接受相应权值数的服务请求。例如：服务器A的权值被设计成1，B的权值是 3，C的权值是6，则服务器A、B、C将分别接受到10%、30％、60％的服务请求。此种均衡算法能确保高性能的服务器得到更多的使用率，避免低性能的服务器负载过重。
随机均衡（Random）：把来自网络的请求随机分配给内部中的多个服务器。
权重随机均衡（Weighted Random）：此种均衡算法类似于权重轮循算法，不过在处理请求分担时是个随机选择的过程。
响应速度均衡（Response Time）：负载均衡设备对内部各服务器发出一个探测请求（例如Ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好的反映服务器的当前运行状态，但这最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。
最少连接数均衡（Least Connection）：客户端的每一次请求服务在服务器停留的时间可能会有较大的差异，随着工作时间加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，并没有达到真正的负载均衡。最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据记录，记录当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。此种均衡算法适合长时处理的请求服务，如FTP。
处理能力均衡：此种均衡算法将把服务请求分配给内部中处理负荷（根据服务器CPU型号、CPU数量、内存大小及当前连接数等换算而成）最轻的服务器，由于考虑到了内部服务器的处理能力及当前网络运行状况，所以此种均衡算法相对来说更加精确，尤其适合运用到第七层（应用层）负载均衡的情况下。
DNS响应均衡（Flash DNS）：在Internet上，无论是HTTP、FTP或是其它的服务请求，客户端一般都是通过域名解析来找到服务器确切的IP地址的。在此均衡算法下，分处在不同地理位置的负载均衡设备收到同一个客户端的域名解析请求，并在同一时间内把此域名解析成各自相对应服务器的IP地址（即与此负载均衡设备在同一位地理位置的服务器的IP地址）并返回给客户端，则客户端将以最先收到的域名解析IP地址来继续请求服务，而忽略其它的IP地址响应。在种均衡策略适合应用在全局负载均衡的情况下，对本地负载均衡是没有意义的。
尽管有多种的负载均衡算法可以较好的把数据流量分配给服务器去负载，但如果负载均衡策略没有对网络系统状况的检测方式和能力，一旦在某台服务器或某段负载均衡设备与服务器网络间出现故障的情况下，负载均衡设备依然把一部分数据流量引向那台服务器，这势必造成大量的服务请求被丢失，达不到不间断可用性的要求。所以良好的负载均衡策略应有对网络故障、服务器系统故障、应用服务故障的检测方式和能力：
Ping侦测：通过ping的方式检测服务器及网络系统状况，此种方式简单快速，但只能大致检测出网络及服务器上的操作系统是否正常，对服务器上的应用服务检测就无能为力了。
TCP Open侦测：每个服务都会开放某个通过TCP连接，检测服务器上某个TCP端口（如Telnet的23口，HTTP的80口等）是否开放来判断服务是否正常。
HTTP URL侦测：比如向HTTP服务器发出一个对main.html文件的访问请求，如果收到错误信息，则认为服务器出现故障。
负载均衡策略的优劣除受上面所讲的两个因素影响外，在有些应用情况下，我们需要将来自同一客户端的所有请求都分配给同一台服务器去负担，例如服务器将客户端注册、购物等服务请求信息保存的本地数据库的情况下，把客户端的子请求分配给同一台服务器来处理就显的至关重要了。有两种方式可以解决此问题，一是根据IP地址把来自同一客户端的多次请求分配给同一台服务器处理，客户端IP地址与服务器的对应信息是保存在负载均衡设备上的；二是在客户端浏览器 cookie内做独一无二的标识来把多次请求分配给同一台服务器处理，适合通过代理服务器上网的客户端。
还有一种路径外返回模式（Out of Path Return），当客户端连接请求发送给负载均衡设备的时候，中心负载均衡设备将请求引向某个服务器，服务器的回应请求不再返回给中心负载均衡设备，即绕过流量分配器，直接返回给客户端，因此中心负载均衡设备只负责接受并转发请求，其网络负担就减少了很多，并且给客户端提供了更快的响应时间。此种模式一般用于HTTP服务器群，在各服务器上要安装一块虚拟网络适配器，并将其IP地址设为服务器群的VIP，这样才能在服务器直接回应客户端请求时顺利的达成三次握手。
负载均衡实施要素
负载均衡方案应是在网站建设初期就应考虑的问题，不过有时随着访问流量的爆炸性增长，超出决策者的意料，这也就成为不得不面对的问题。当我们在引入某种负载均衡方案乃至具体实施时，像其他的许多方案一样，首先是确定当前及将来的应用需求，然后在代价与收效之间做出权衡。
针对当前及将来的应用需求，分析网络瓶颈的不同所在，我们就需要确立是采用哪一类的负载均衡技术，采用什么样的均衡策略，在可用性、兼容性、安全性等等方面要满足多大的需求，如此等等。
不管负载均衡方案是采用花费较少的软件方式，还是购买代价高昂在性能功能上更强的第四层交换机、负载均衡器等硬件方式来实现，亦或其他种类不同的均衡技术，下面这几项都是我们在引入均衡方案时可能要考虑的问题：
性能：性能是我们在引入均衡方案时需要重点考虑的问题，但也是一个最难把握的问题。衡量性能时可将每秒钟通过网络的数据包数目做为一个参数，另一个参数是均衡方案中服务器群所能处理的最大并发连接数目，但是，假设一个均衡系统能处理百万计的并发连接数，可是却只能以每秒2个包的速率转发，这显然是没有任何作用的。性能的优劣与负载均衡设备的处理能力、采用的均衡策略息息相关，并且有两点需要注意：一、均衡方案对服务器群整体的性能，这是响应客户端连接请求速度的关键；二、负载均衡设备自身的性能，避免有大量连接请求时自身性能不足而成为服务瓶颈。有时我们也可以考虑采用混合型负载均衡策略来提升服务器群的总体性能，如DNS负载均衡与NAT负载均衡相结合。另外，针对有大量静态文档请求的站点，也可以考虑采用高速缓存技术，相对来说更节省费用，更能提高响应性能；对有大量ssl/xml内容传输的站点，更应考虑采用ssl/xml加速技术。
可扩展性：IT技术日新月异，一年以前最新的产品，现在或许已是网络中性能最低的产品；业务量的急速上升，一年前的网络，现在需要新一轮的扩展。合适的均衡解决方案应能满足这些需求，能均衡不同操作系统和硬件平台之间的负载，能均衡HTTP、邮件、新闻、代理、数据库、防火墙和 Cache等不同服务器的负载，并且能以对客户端完全透明的方式动态增加或删除某些资源。
灵活性：均衡解决方案应能灵活地提供不同的应用需求，满足应用需求的不断变化。在不同的服务器群有不同的应用需求时，应有多样的均衡策略提供更广泛的选择。
可靠性：在对服务质量要求较高的站点，负载均衡解决方案应能为服务器群提供完全的容错性和高可用性。但在负载均衡设备自身出现故障时，应该有良好的冗余解决方案，提高可靠性。使用冗余时，处于同一个冗余单元的多个负载均衡设备必须具有有效的方式以便互相进行监控，保护系统尽可能地避免遭受到重大故障的损失。
易管理性：不管是通过软件还是硬件方式的均衡解决方案，我们都希望它有灵活、直观和安全的管理方式，这样便于安装、配置、维护和监控，提高工作效率，避免差错。在硬件负载均衡设备上，目前主要有三种管理方式可供选择：一、命令行接口（CLI：Command Line Interface），可通过超级终端连接负载均衡设备串行接口来管理，也能telnet远程登录管理，在初始化配置时，往往要用到前者；二、图形用户接口（GUI：Graphical User Interfaces），有基于普通web页的管理，也有通过Java Applet 进行安全管理，一般都需要管理端安装有某个版本的浏览器；三、SNMP（Simple Network Management Protocol，简单网络管理协议）支持，通过第三方网络管理软件对符合SNMP标准的设备进行管理。

⑸ 针对SYN Flood攻击，请提出一个检测攻击和防御攻击的方法，并阐述理由。

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。
要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：
大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：
首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；
第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。
第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。
问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。
从防御角度来说，有几种简单的解决方法：
第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。
第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。
可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。

⑹ 简述三次握手算法。。。。计算机十道题

1.OSI七层：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。TCP/IP四层：网络接口层、网络层、传输层、应用层。
2.看不懂。
3.HTTP协议。
4.发送使用SMTP，读取使用POP3和IMAP。
5.IP（Internet Protocol）:Internet协议，负责TCP/IP主机间提供数据报服务，进行数据封装并产生协议头，TCP与UDP协议的基础。
ICMP（Internet Control Message Protocol）：Internet控制报文协议。ICMP协议其实是IP协议的的附属协议，IP协议用它来与其它主机或路由器交换错误报文和其它的一 些网络情况，在ICMP包中携带了控制信息和故障恢复信息。
ARP（Address Resolution Protocol）协议：地址解析协议。
RARP（Reverse Address Resolution Protocol）：逆向地址解析协议。
6.分别是UDP，TCP，TCP，TCP。
7.所谓的统一资源定位器又叫URL.就是你输入网址的地方.浏览器用它对你要访问的资源进行描述.由三部分组成:协议型,主机名,路径及文件名.如http://www.bau.com/
8.很简单，就是提供传输服务----为基于应用层的TELNET、HTTP、FTP、POP、SMTP、DNS等应用提供端到端的连接，途径有两种，TCP：传输控制协议，面向连接可靠的，传输效率低，速度慢；UDP：用户数据报协议，面向非连接，不可靠的，传输效率高，速度快
9.HTTP的端口号为80， Telnet（远程登录）为23，FTP（文件传输）为21
10.在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。
第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端 和服务器进入ESTABLISHED状态，完成三次握手。

⑺ 数字签名的经典算法和流行算法是什么

数字签名是
用私钥加的密
私钥加密的内容是信息的MD5值
既然是私钥了那么肯定是非对称加密了