防火墙防控DDOS攻击三步曲(1)

　　DOS（Denial of Service）攻击是一种很简单但又很有效的进攻方式，能够利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DDOS(Distributed Denial of Service)是一种基于DOS的特殊形式的拒绝服务攻击，攻击者通过事先控制大批傀儡机，并控制这些设备同时发起对目标的DOS攻击，具有较大的破坏性。

　　常见的DOS/DDOS攻击可以分为两大类：一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等，例如泪滴（TearDrop）攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击，IP 分段含有指示该分段所包含的是原包的哪一段信息，某些 TCP/IP协议栈（例如NT 在service pack 4 以前）在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等，SYN Flood具有典型意义，利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回 SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

　　从现在和未来看，防火墙都是抵御DOS/DDOS攻击的重要组成部分，这是由防火墙在网络拓扑的位置和扮演的角色决定的，下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DOS/DDOS攻击的有效防范。

　　1、基于状态的资源控制，保护防火墙资源