第48部分

請關閉瀏覽器的閱讀/暢讀/小說模式並且關閉廣告遮蔽過濾功能，避免出現內容無法顯示或者段落錯亂。

致伺服器無法響應的，應該可以用限制連線數的方式來解決這個問題吧？“

“你知道，TCP連線要經過三次握手地過程。客戶端發出SYN分組，然後伺服器返回SYNACK確認資訊，最後客戶再發出ACK。”

“發動SYN淹沒（或者說是SYN洪水攻擊）時，攻擊者會傳送一個從系統A到系統B的SYN分組，不過它的資料包中的源地址卻是一個不存在的系統地址，因為這個地址是偽造地，不存在的，這樣，系統B傳送的SYNACK分組到這個偽造的地址時得不到再一次的回應，也就是沒有第三次的“握手”。於是系統B只好把處於這個狀態的潛在連線放到一個連線佇列中，系統B現在承擔著把這個潛在連線設定完畢的義務，直到連線建立定時器發生超時而把該潛在連線沖刷出連線佇列為止。“

“而關鍵是，這個定時器設定的時間通常是很長的，在這斷時間內TCP連線上之後就得維護連線狀態，這個維護必須得消耗系統的資源，所以大量的連線會大量消耗系統資源，如CPU和記憶體。攻擊者不斷地發出連線請求，在前一個請求還沒有斷開之前又有大量的連線請求傳送出來，這樣就可能完全禁止某個特定的埠不被別人訪問到達到拒絕為別人服務的目的。受攻擊者的系統將永遠無法在接收新的SYN請求之前清空佇列。”

……………

許毅一口氣說了這麼多，周松聽得也是半懂不懂的，不過總算對DOS攻擊有了一個大體的瞭解，知道了大致的原理。他的理解是被攻擊者系統A是個懂禮節的君子，攻擊者系統B則是偽君子。偽君子惡意地向君子伸出右手，多面手君子很禮貌地回應他，和他握手。按照既定的禮節，偽君子B應該再回把左手也握上去，但是他為了消耗A的“體力”（只有再次握一下A才會恢復正常），故意不回握了。更為齷齪的是，偽君子B還一直不斷地伸出右手握了一次又一次……

“師父，要怎樣判別哪些是惡意的連線呢？”周松問。

“這就是解決這個問題的最大難點。區分正常和惡意的客戶，光從連線上是無法區分的。因為連線都是正常的，根據它攻擊的原理，我們可以檢查源地址入手，也就是每次驗證連線請求傳送來的資料包中的源地址是否是一個合法的地址。”許毅說的這個方式實際上在後來DDOS流行起來之後美國軍方就是這麼做的，“但每次都驗證源地址有一個很大的缺點，它會大大降低網路傳輸的效率。或許，等以後計算機技術發展起來之後，AI可能能幫上什麼忙。現在唯一的辦法可能就是限制每個客戶的連線數了，或者可以考慮限制客戶的連線速率，如果這些方法都不行，那就無能為力了。基本上來說，現有的防火牆對此類攻擊沒有有效辦法對付。”不但是現有的，就算是幾年之後的防火牆還是這樣呢。許毅這樣想道。

“哇，那豈不是無敵了！”

“無敵你個頭！”許毅沒好氣地罵道，“沒有任何攻擊是無敵的，有攻擊必有解決的辦法，只是暫時還沒有找到而已。你別老是想者怎麼去攻擊別人，多想想怎麼防禦這種攻擊吧，不但是從系統方面考慮，也多從其他方面想想，例如路由器。”想到上次亡靈軍團針對訊飛的攻擊許毅就火大，他恨恨地想：“此仇不報非……人類！要是讓他查到亡靈軍團成員的地址，哼哼……

“師父，我整理一下將這個攻擊的原理公佈到論壇去，他們肯定會很感興趣的。”

“暫時還是不要公佈。”許毅否決了周松的這個決定。DOS，DDOS之類的攻擊這麼早出現對中國網路的發展很不利。現在中國的絕大多數網路管理員還沒有足夠的知識來應對這類攻擊，也就是說現在就算是一臺機器的攻擊都能給他們帶來極大的困擾，到時候還說不準會出現多少件網路敲詐案呢。許毅認識到，中國的網路勢力已經不均衡了，攻擊於防，這樣下去肯定不行。雖說有壓力才有動力，但現在這壓力要是過猛就不好了。

“看來得幫助幫助那些苦命的網管了。”許毅想到自己本來就是網管出身，所以他也更能體會網管的幸楚，他想起以前在網路上看到的一個描述網管生活的Yeash，裡面的歌詞仍然歷歷在目。

……

起得比公雞早，睡得比耗子晚，有了問題隨叫隨到，要是碰到駭客，一陣胡搞，腳跟直碰後腦勺。軟體推出升級版本，恨我沒有章魚腳，並毒出了不得了，又是一場龜兔賽跑……吃不上飯睡不好覺，生病請假開玩笑……過勞死亡，離我不早……

正文　第87章

bbs。