什么是arp 什么是TCPIP

ARP
我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现 ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
一、什么是ARP协议
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。
附表
我们以主机A（19216815）向主机B（19216811）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A 就会在网络上发送一个广播，目标MAC地址是“FFFFFFFFFFFF”，这表示向同一网段内的所有主机发出这样的询问： “19216811的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应： “19216811的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
三、如何查看ARP缓存表
ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。
用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
四、ARP欺骗
其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少 “黑锅”。
作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器 IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP- MAC双向绑定。
tcp/ip
TCP/IP协议(Transmission Control Protocol/Internet Protocol)叫做传输控制/网际协议，又叫网络通讯协议，这个协议是Internet国际互联网络的基础。
TCP/IP是网络中使用的基本的通信协议。虽然从名字上看TCP/IP包括两个协议，传输控制协议(TCP)和网际协议(IP)，但TCP/IP实际上是一组协议，它包括上百个各种功能的协议，如：远程登录、文件传输和电子邮件等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。通常说 TCP/IP是Internet协议族，而不单单是TCP和IP。
TCP/IP是用于计算机通信的一组协议，我们通常称它为TCP/IP协议族。它是70年代中期美国国防部为其ARPANET广域网开发的网络体系结构和协议标准，以它为基础组建的INTERNET是目前国际上规模最大的计算机网络，正因为INTERNET的广泛使用，使得TCP/IP成了事实上的标准。
之所以说TCP/IP是一个协议族，是因为TCP/IP协议包括TCP、IP、UDP、ICMP、RIP、TELNETFTP、SMTP、ARP、TFTP等许多协议，这些协议一起称为TCP/IP协议。以下我们对协议族中一些常用协议英文名：
TCP(Transmission Control Protocol)传输控制协议
IP(Internet Protocol)网际协议
UDP(User Datagram Protocol)用户数据报协议
ICMP(Internet Control Message Protocol)互联网控制信息协议
SMTP(Simple Mail Transfer Protocol)简单邮件传输协议
SNMP(Simple Network manage Protocol)简单网络管理协议
FTP(File Transfer Protocol)文件传输协议
ARP(Address Resolation Protocol)地址解析协议
从协议分层模型方面来讲，TCP/IP由四个层次组成：网络接口层、网络层、传输层、应用层。
其中：
网络接口层 这是TCP/IP软件的最低层，负责接收IP数据报并通过网络发送之，或者从网络上接收物理帧，抽出IP数据报，交给IP层。
网络层负责相邻计算机之间的通信。其功能包括三方面。一、处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选择去往信宿机的路径，然后将数据报发往适当的网络接口。二、处理输入数据报：首先检查其合法性，然后进行寻径--假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议；假如该数据报尚未到达信宿，则转发该数据报。三、处理路径、流控、拥塞等问题。
传输层 提供应用程序间的通信。其功能包括：一、格式化信息流；二、提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送。
应用层向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等。远程登录TELNET使用TELNET协议提供在网络其它主机上注册的接口。 TELNET会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能。
前面我们已经学过关于OSI参考模型的相关概念，现在我们来看一看，相对于七层协议参考模型，TCP/IP协议是如何实现网络模型的。
OSI中的层 功能 TCP/IP协议族
应用层 文件传输，电子邮件，文件服务，虚拟终端 TFTP，>

中小型企业
中小型企业系列产品/适合于家庭办公室和中小企业的 FortiGate; 安全平台 FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墙是功能强大，多合一的网络安全解决方案。本系列的产品适合于小型办公室、家庭办公室、中小企业、分公司办公室等等客户。产品管理界面简单易 *** 作，为客户降低了使用成本和超额的价值。 本产品具有多种安全功能 – 包括防病毒、防火墙、、入侵检测/防御、内容过滤和流量控制等。现在我们的企业客户能够在不降低网络性能和不增加成本的基础上，享受网络安全服务。 FortiGate的安装向导可以帮助客户经过简单的几步，几分钟内就可以完成安装和运转。设备的吞吐量从30Mbps到200Mbps。FortiGate-50B、60 系列、100A、200A 和 300A 能够保护企业的网络，使其免受网络的攻击与威胁。
FortiGate-50B 5 10/100 ,并发25000新建2000，50M/48,20
FortiGate-50B 可以满足小型办公室/家庭办公(SOHO)应用需求。安装向导使得安装部署简便易行，几分钟内就可以让FortiGate-50B运行起来。FortiGate-50B 功能全面，可以抵御混合攻击，适合于10个以内人员的远程办公和小公司的使用。
对与远程办公室、零售店面、远程办公和企业应用来说是非常理想的。
可以在基于网络的病毒、Web和邮件的内容过滤、、防火墙、网络入侵与防护、流量整形等方面，立体构成网络防御体系。
FortiGate-60/60M
FortiGate-60/60M 支持双WAN接入，实现冗余 7 10/100 ,并发50000新建2000，70M/20,50
的Internet连接。FortiGate-60M还支持模拟modem，实现线路的备份。
采用了硬件加速、基于ASIC加速，实现极高的性能和稳定性
对于需要防火墙、防病毒、和入侵检测与防御等多种安全的功能的企业来说是非常理想。
FortiGate-60 ADSL 7 10/100 ,并发50000新建2000，70M/20,50
FortiGate-60 ADSL 集成了ADSL modem。它支持多种ADSL标准，包括ANSI T1413 issue 2, ITU Gdmt and ITU Glite, 以及Annex A。
在外地办公室和远程办公通过ADSL连接到总部这种环境下，该产品提供了一个完整的安全解决方案
所集成的4个交换接口减少了额外的交换机和HUB的需求，节省了资源和管理成本
FortiWifi-60A/60AM
FortiWifi-60 是第一款为无线环境提供一体化安全解决方案的产品，它是中小企业、零售连锁店、远程办公的最佳选择。
支持80211a/b/g无线和有线接入，这样可以对无线和有线接入都部署防病毒、防火墙、、内容过滤、入侵检测与阻断等网络安全服务
对WLAN可以实现IPSEC加密和WEP，实现了无线接入的安全体系
FortiWifi-60AM 集成了一个模拟Modem，用作线路备份
FortiGate-100A 8 10/100 ,并发200000新建4000,100M/40,80
FortiGate-100A 是小公司的理想的选择。支持双WAN连接，可以实现Internet接入冗余，集成的4个交换接口，可以替代一个交换机或HUB。
双 DMZ接口，方便服务器的部署
双WAN接口实现了多ISP的冗余、负载均衡
FortiGate-200A 8 10/100 ,并发400000新建4000,150M/70,200
FortiGate-200A 适用于中小型企业。FortiGate-200A支持双WAN连接，可以实现冗余的Internet接入，集成的4个交换接口，可以替代一个交换机或HUB。
中小型企业和组织的高性能的、实时的解决方案
四个可路由的10/100接口和4个内部交换接口
FortiGate-224B
FortiGate-224B 是Fortinet将立体多层安全防护与网络登陆集成在一起的首款产品。FortiGate-224B实现的端口级别的访问控制，是将2层交换设备与传统的FortiOS技术集成在一起的产品。它是全面的有效的局域网的安全解决方案。
将网络安全策略部署于接口级别上，强化了网络安全体系。FortiGate-224B是针对入侵攻击、病毒、蠕虫、拒绝服务攻击、间谍软件。
把安全体系与网络交换功能整合在一起，降低了部署的复杂性。
自动地响应和自我修复性隔离，降低了网络管理的运行成本。
FortiGate-300A 4 10/1002 G ,并发400000新建10000,400M/120,1500
FortiGate-300A 病毒防火墙的性能、灵活性和安全足以满足中小规模的网络的需求。FortiGate-300A平台具有两个10/100/1000 三速以太网接口，适合于千兆网络和要升级到千兆网络的环境。
和市场上其它产品来比，其性能、价格、功能都值得称道
有两个千兆接口和四个用户可定义的10/100接口
企业级的UTM防火墙
FortiGate; 企业级系列产品包括 FortiGate-400、400A、500、500A和800，能够满足普通企业的对性能、可用性和可靠性的需求。它们和其他型号产品一样具有所有主要功能，比如集成的防病毒、防火墙、、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps，具有高可用性(会话级别切换)，多个安全区等功能，因此说它们是企业的关键应用的最佳选择。
FortiGate-400 并发会话数400000，新建会话数10000,处理能力500M，3DES处理能力140M,1500个通道
2 GE and 4 10/100 以太接口
FortiGate-400 病毒防火墙为企业级的网络安全设备。能够即时监测病毒与蠕虫、过滤网络数据包内容，并提供高效能之防火墙、、和流量监控等功能。FortiGate-400病毒防火墙具备所谓的高可用性(HA)和故障恢复功能，完全可以满足企业的关键业务的安全需求。
本产品为中型企业提供全方位的网络防护的最佳解决方案。
多重安全区的管理可以实现完了国分段的功能，网络管理者可以针对所属安全区的子网络制定完善的安全策略和网络流量控制。
FortiGate-400A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全的，部署灵活的安全防护体系。FortiGate-400A的系统平台具有2个10/100/1000通讯接口，为扩展到千兆环境预留了空间，4个可用户定义的10/100通讯接口，可以实现冗余的WAN接入。本系统具有高可用性与多个安全区管理的功能，网络管理者可以针对所属的区域定制完善的安全策略和网络流量控制。
本产品具有2个千兆以太网接口和4个可用户定义的10/100个接口，可以满足中型企业的扩展性要求。
可以作为高性能的病毒和内容过滤的网关；或者作为企业网络的防火墙，提供所属的网络的全面的内容防护功能，其包括入侵检测和防御与等功能。
FortiGate-500
FortiGate-500 病毒防火墙是多个区域的安全解决方案。本系统可以将企业的网络划分成不同的独立区域，在每个区域内都可以定义所属的安全策略。FortiGate-500 病毒防火墙具有12个可定义的网络接口，1U高，实现比其它系统更为经济、高密度、低成本的安全解决方案。
本系统有12个10/100M以太网接口，和多个安全区的功能，部署最为灵活。
本系统能够实现屡获殊荣的各个网络安全功能，包括网络病毒防护、防火墙、和入侵检测/阻断等。
FortiGate-500A 并发会话数400000新建会话数10000,处理能力600M/3DES处理能力150M,3000个通道
2 GE, 4 10/100 接口, 4 个交换接口
FortiGate-500A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全、富有d性的安全防护体系。FortiGate-500A系统平台具有两个 10/100/1000通讯接口，为企业扩展到千兆环境提供了便利。并提供 4个用户可以定义的 10/100通讯接口，支持冗余的WAN接口，高可用性和多个安全区域等等。网络管理员可以针对所属的区域制定完善的安全策略和网络流量控制。此外，本系统还有4个交换接口，方便用户使用。
特别适合企业级的网络架构，提供高速的传输率，高性能和低成本的安全解决方案。
具有6个10/100M的网络接口和4个10/100M交换接口，满足未来灵活部署的需要。
FortiGate-800 并发400000新建10000,1000M/200,3000
4 GE SAU SFP, 4 10/100 ports
FortiGate-800 病毒防火墙为大型企业提供了高性能、高安全性、灵活的网络安全系统。FortiGate-800可作为高效率的病毒和内容过滤的网关；或者作为企业网络的防火墙，实现所属网络的完全内容防护，包括入侵检测/防御和 等功能。FortiGate-800系统具有四个10/100/1000网络接口，4个用户定义的10/100接口，实现细粒度的多区域的安全，网络管理员可以把他的网络划分为多个区域，在区域之间创建策略。
具有4个10/100/1000 以太网络接口，为企业升级到千兆网络提供了便利。
是大型企业的理想解决方案，实现性能高、部署灵活、可细粒度控制网络流量等特点。
FortiGate-1000A 和 FortiGate-1000AFA2
FortiGate-1000A 病毒防火墙是一个能够达到千兆吞吐量的高性能解决方案，
可以满足大型企业对可靠性的需求。可选的FortiGate-1000AFA2装备有采用
了FortiAccel技术的2个接口，可以大幅度提高小包的处理能力。FortiGate-1
000A产品可以很容易部署于现有网络，可以作为病毒和内容层的过滤，也可
以作为一个全面的解决方案。对HA的支持和热插拔电源，确保了关键业务的
不间断运行。
FGT-1000A 有10个10/100/1000M 的三速Base-T接口
FGT-1000AFA2 有10个三速接口和2个可拔插的小包线速接口，是VoIP用
户的理想选择。
产品型号 产品描述
FG-50B 3 口(10/100)以太网口、2 口WAN口、 50Mbps吞吐量、25000个并发会话数、20个通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。
FG-60U 7口(10/100)以太网口、 70Mbps吞吐量、50000个并发会话数、40个通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-100A 2个WAN口,2个DMZ口,4口(10/100)以太网口、100Mbps吞吐量、200K个并发会话数、80个通道数、1000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-200A 2个WAN口,2个DMZ口,4口(10/100)以太网口、 150Mbps吞吐量、400K个并发会话数、100个通道数、2000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-300A 4口(10/100)以太网口、2个1000M以太网口, 400Mbps吞吐量、400K个并发会话数、1500个通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、内嵌日志
FG-400A 4口(10/100)以太网口、2个1000M以太网口，400Mbps吞吐量、400K个并发会话数、2000个通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志
FG-500A 8口(10/100)以太网口、2个1000M以太网口，500Mbps吞吐量、400K个并发会话数、2000个通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志
FG-800 4口(10/100/1000)以太网口、4个(10/100)用户可定义端口、 600Mbps吞吐量、400000个并发会话数、2000个通道数、20000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘
FG-800F 4口1000M以太网口、4个1000光纤口、1Gbps吞吐量、400K个并发会话数、3000个通道数、200M吞吐量、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、
FG-1000 4口(10/100)以太网口、2个1000base-T口、 1Gbps吞吐量、600000个并发会话数、3000个通道数、30000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘
FG-1000A 4个10/100M端口,2个1000M端口,每秒连接数600000新建连接数,并发连接数15000并发连接数
FG-3000 3口(10/100)以太网口、2个1000base-SX口、1个1000base-T口、 225Gbps吞吐量、975000个并发会话数、5000个通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘
FG-3600 1口(10/100)以太网口、4个1000base-SX口、2个1000base-T口、 4Gbps吞吐量、1M个并发会话数、5000个通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘

在本文中，笔者重点解析了TCP/IP协议栈面临的五大网络安全问题，也介绍到企业网络安全管理人员在面临问题时所能采取的应对措施。 1 IP欺骗 IP Spoof即IP 电子欺骗，可以理解为一台主机设备冒充另外一台主机的IP地址与其他设备通信，从而达到某种目的技术。早在1985年，贝尔实验室的一名工程师Robbert Morris在他的一篇文章“A weakness in the 42bsd UNIX TCP/IP software”中提出了IP Spoof的概念，有兴趣的读者可参见原文：/~emv/tubed/archives/Morris_weakness_in_ TCPIPtxt 。 但要注意：单纯凭借IP Spoof技术不可能很好地完成一次完整的攻击，因为现有IP Spoof技术是属于一种“盲人”式的入侵手段。 一般来说，IP欺骗攻击有6个步骤： (1)首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰; (2)然后连接到目标机的某个端口来猜测ISN基值和增加规律; (3)接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接; (4)然后等待目标机发送SYN+ACK包给已经瘫痪的主机; (5)最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1; (6)连接建立，发送命令请求。 下面是它的两个关键步骤： (1)使被信任主机失去工作能力 为了伪装成被信任主机而不露馅，需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正的被信任主机不能收到任何有效的网络数据，否则将会被揭穿。有许多方法可以达到这个目的(如SYN洪水攻击、Land等攻击)。 (2)序列号取样和猜测 对目标主机进行攻击，必须知道目标主机的数据包序列号。通常如何进行预测呢往往先与被攻击主机的一个端口(如25端口)建立起正常连接。通常，这个过程被重复N次，并将目标主机最后所发送的ISN存储起来。然后还需要估计他的主机与被信任主机之间的往返时间，这个时间是通过多次统计平均计算出来的。如果往返连接增加64,000，则现就可以估计出ISN的大小是128,000乘以往返时间的一半，如果此时目标主机刚刚建立过一个连接，那么再加上64,00。一旦估计出ISN的大小，就开始着手进行攻击，当然你的虚假TCP数据包进入目标主机时，如果刚才估计的序列号是准确的，进入的数据将被放置在目标机的缓冲区中。 但是在实际攻击过程中往往没这么幸运，如果估计的序列号小于正确值，那么将被放弃。而如果估计的序列号大于正确值，并且在缓冲区的大小之内，那么该数据被认为是一个未来的数据，TCP模块将等待其他缺少的数据。如果估计序列号大于期待的数字且不在缓冲区之内，TCP将会放弃它并返回一个期望获得的数据序列号。伪装成被信任的主机IP后，此时该主机仍然处在瘫痪状态，然后向目标主机的被攻击端口(如25)发送连接请求。目标主机立刻对连接请求作出反应，发更新SYN+ACK确认包给被信任主机，因为此时被信任主机仍然处于瘫痪状态，它当然无法收到这个包，紧接着攻击者向目标主机发送ACK数据包，该数据包使用前面估计的序列号加1。如果攻击者估计正确的话，目标主机将会接收该ACK。连接就正式建立起了，可以开始数据传输了。 对于来自网络外部的欺骗，防范的方法很简单，只需要在局域网的对外路由器上加一个限制设置就可以实现了，在路由器的设置里面禁止运行声称来自于网络内部的信息包。 对于来自局域网外部的IP欺骗攻击的防范则可以使用防火墙进行防范，但是对于来自内部的攻击通过设置防火墙则起不到什么作用，这个时候应该注意内部网的路由器是否支持内部接口。如果路由器支持内部网络子网的两个接口，则必须提高警惕，因为它很容易受到IP欺骗。 通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog等信息包检查工具对信息的源地址和目的地址进行验证，如果发现了信息包来自两个以上的不同地址，则说明系统有可能受到了IP欺骗攻击，防火墙外面正有黑客试图入侵系统。 2 SYN Flooding SYN Flooding是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。 在TCP会话初期，有所谓的“三次握手”过程：对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包进行编号，并需要等待这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。由于TCP要时刻跟踪，这需要额外开销，使得TCP的格式有些显得复杂。 TCP三次握手的步骤如下： (1)设主机A要与主机B通信，要建立一个TCP连接。首先，主机B(在这儿是服务器)，必须先运行一个服务器进程，发出一个“被动找开”命令给TCP。之后服务器进程便不断探测端口，看是否有客户进程有连接请求。并处于“听”状态。客户端主机A的应用进程，向其TCP发“主动打开”命令，指明要与某个IP地址的某个端口建立TCP连接。第一次主机A的TCP便向主机B的TCP发出连接请求报文。TCP报文中指明了要连接的IP地址(隐含TP数据报指明)和端口号，设置能够接受的TCP数据段最大值，以及一些用户数据，SYN=1，ACK=0。这称为“第一次握手”。 (2)主机A的连接请求到达主机B后，主机B的TCP查看是否有进程在侦听该端口，如没有，就发送一个RST=1的应答，拒绝连接，否则将到达TCP数据段留给“侦听”进程。“侦听”进程将发回一个应答TCP报文段，其中SYN=1，ACK=1，确认序号ACKSEQ=X+1，同时自己选一个发送序号SEQ=Y。这是“第二次握手”。 (3)主机A收到主机B的确认报文后，再向主机B发出一个确认TCP报文段，其中SYN=1，ACK=1，SEQ=X+1，ACKSEQ=Y+1，这就完成了“第三次握手”。 在SYN Flooding攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包，如图1所示。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN+ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断地向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。 图1 SYN Flooding攻击示意图 目前在防御SYN Flooding攻击方面有2种比较有效的技术。 (1)SYN-cookie技术 一般情况下，当服务器收到一个TCP SYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN+ACK报文，这时形成一个半连接。SYN Flooding正是利用了这一点，发送大量的伪造源地址的SYN连接请求，而不完成连接。这样就大量地消耗服务器的资源。 SYN-cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN报文后，不立即分配缓冲区，而是利用连接的信息生成一个cookie，并将这个cookie作为将要返回的SYN+ACK报文的初始序列号。当客户端返回一个ACK报文时，根据包头信息计算cookie，与返回的确认序列号(初始的序列号+1)的前24位进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接。 该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配，使SYN Flooding攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息，使攻击者不能伪造cookie。cookie的计算过程如下。 ① 服务器收到一个SYN包后，计算一个消息摘要mac： mac = MAC(A，k) MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的hash函数，它能够提供cookie计算中需要的安全性。A为客户和服务器双方的IP地址和端口号以及参数t的串联组合：A = SOURCE_IP SOURCE_PORT DST_IP DST_PORT t;K为服务器独有的密钥;时间参数t为32比特长的时间计数器，每64秒加1; ② 生成cookie： cookie = mac(0:24)：表示取mac值的第0到24比特位; ③ 设置将要返回的SYN+ACK报文的初始序列号，设置过程如下： · 高24位用cookie代替; · 接下来的3比特位用客户要求的最大报文长度MMS代替; · 最后5比特位为t mod 32。 客户端收到来自服务器SYN+ACK报文后，返回一个ACK报文，这个ACK报文将带一个cookie(确认号为服务器发送过来的SYN ACK报文的初始序列号加1，所以不影响高24位)，在服务器端重新计算cookie，与确认号的前24位比较，如果相同，则说明未被修改，连接合法，然后，服务器完成连接的建立过程。 SYN-cookie技术由于在连接建立过程中不需要在服务器端保存任何信息，实现了无状态的三次握手，从而有效地防御了SYN Flooding攻击。但是该方法也存在一些弱点。由于cookie的计算只涉及了包头的部分信息，在连接建立过程中不在服务器端保存任何信息，所以失去了协议的许多功能，比如超时重传。此外，由于计算cookie有一定的运算量，增加了连接建立的延迟时间，因此，SYN-cookie技术不能作为高性能服务器的防御手段。通常采用动态资源分配机制，即分配了一定的资源后再采用cookie技术，Linux系统中的SYN-cookie就是这样实现的。还有一个问题是，当我们避免了SYN Flooding攻击的同时，也提供了另一种拒绝服务攻击方式，攻击者发送大量的ACK报文，使服务器忙于计算验证。尽管如此，在预防SYN Flooding攻击方面，SYN-cookie技术仍然是一种有效的技术。 (2)地址状态监控的解决方法 地址状态监控的解决方法是利用监控工具对网络中的有关TCP连接的数据包进行监控，并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。 每个源地址都有一个状态与之对应，总共有四种状态： · 初态：任何源地址刚开始的状态; · NEW状态：第一次出现或出现多次也不能断定存在的源地址的状态; · GOOD状态：断定存在的源地址所处的状态; · BAD状态：源地址不存在或不可达时所处的状态。 具体的动作和状态转换根据TCP头中的位码值决定。 ① 监听到SYN包，如果源地址是第一次出现，则置该源地址的状态为NEW状态;如果是NEW状态或BAD状态;则将该包的RST位置1然后重新发出去，如果是GOOD状态不作任何处理。 ② 监听到ACK或RST包，如果源地址的状态为NEW状态，则转为GOOD状态;如果是GOOD状态则不变;如果是BAD状态则转为NEW状态;如果是BAD状态则转为NEW状态。 ③ 监听到从服务器来的SYN ACK报文(目的地址为addr)，表明服务器已经为从addr发来的连接请求建立了一个半连接，为防止建立的半连接过多，向服务器发送一个ACK包，建立连接，同时，开始计时，如果超时，还未收到ACK报文，证明addr不可达，如果此时addr的状态为GOOD则转为NEW状态;如果addr的状态为NEW状态则转为BAD状态;如果为addr的状态为BAD状态则不变。 地址状态的转换图如图2所示。 图2 地址状态转换图 下面分析一下基于地址状态监控的方法如何能够防御SYN Flooding攻击。 对于一个伪造源地址的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，当监听到服务器的SYN+ACK报文，表明服务器已经为该源地址的连接请求建立了半连接。此时，监控程序代源地址发送一个ACK报文完成连接。这样，半连接队列中的半连接数不是很多。计时器开始计时，由于源地址是伪造的，所以不会收到ACK报文，超时后，监控程序发送RST数据包，服务器释放该连接，该源地址的状态转为BAD状态。之后，对于每一个来自该源地址的SYN报文，监控程序都会主动发送一个RST报文。 对于一个合法的SYN报文，若源地址第一次出现，则源地址的状态为NEW状态，服务器响应请求，发送SYN+ACK报文，监控程序发送ACK报文，连接建立完毕。之后，来自客户端的ACK很快会到达，该源地址的状态转为GOOD状态。服务器可以很好地处理重复到达的ACK包。 3 ACK Flooding ACK Flooding攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机 *** 作系统协议栈会回应RST包告诉对方此端口不存在。 这里，服务器要做两个动作：查表、回应ACK/RST。这种攻击方式显然没有SYN Flooding给服务器带来的冲击大，因此攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。按照我们对TCP协议的理解，随机源IP的ACK小包应该会被Server很快丢弃，因为在服务器的TCP堆栈中没有这些ACK包的状态信息。但是实际上通过测试，发现有一些TCP服务会对ACK Flooding比较敏感，比如说JSP Server，在数量并不多的ACK小包的打击下，JSP Server就很难处理正常的连接请求。对于Apache或者IIS来说，10kbps的ACK Flooding不会构成危胁，但是更高数量的ACK Flooding会造成服务器网卡中断频率过高，负载过重而停止响应。可以肯定的是，ACK Flooding不但可以危害路由器等网络设备，而且对服务器上的应用有不小的影响。 如果没有开放端口，服务器将直接丢弃，这将会耗费服务器的CPU资源。如果端口开放，服务器回应RST。 利用对称性判断来分析出是否有攻击存在。所谓对称性判断，就是收包异常大于发包，因为攻击者通常会采用大量ACK包，并且为了提高攻击速度，一般采用内容基本一致的小包发送。这可以作为判断是否发生ACK Flooding的依据，但是目前已知情况来看，很少有单纯使用ACK Flooding攻击，通常都会和其他攻击方法混合使用，因此，很容易产生误判。 一些防火墙应对的方法是：建立一个hash表，用来存放TCP连接“状态”，相对于主机的TCP协议栈实现来说，状态检查的过程相对简化。例如，不作sequence number的检查，不作包乱序的处理，只是统计一定时间内是否有ACK包在该“连接”(即四元组)上通过，从而“大致”确定该“连接”是否是“活动的”。 4 UDP Flooding UDP Flooding是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器，或Radius认证服务器、流媒体视频服务器。100kbps的UDP Flooding经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDP Flooding攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。 正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDP Flooding的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。 UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flooding的防护非常困难。其防护要根据具体情况对待。 · 判断包大小：如果是大包攻击则使用防止UDP碎片方法。根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。 · 攻击端口为业务端口：根据该业务UDP最大包的长度设置检测UDP最大包以过滤异常流量。 · 攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务;另一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。 在网络的关键之处使用防火墙对来源不明的有害数据进行过滤，可以有效减轻UDP Flooding攻击。此外，在用户的网络中还应采取如下的措施。 · 禁用或过滤监控和响应服务。 · 禁用或过滤其他的 UDP 服务。 · 如果用户必须提供一些 UDP 服务的外部访问，那么需要使用代理机制来保护那种服务，保证它不会被滥用。 · 对用户的网络进行监控以了解哪些系统在使用这些服务，并对滥用的迹象进行监控。 · 对于一些小型的服务器，可以直接用防火墙添加规则的方法屏蔽掉。 5 Connection Flooding Connection Flooding是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的连接。 其中一种攻击方法是每秒钟向服务器发起大量的连接请求，这类似于固定源IP的SYN Flooding攻击，不同的是采用了真实的源IP地址。通常这可以在防火墙上限制每个源IP地址每秒钟的连接数来达到防护目的。但现在已有工具采用慢速连接的方式，也即几秒钟才和服务器建立一个连接，连接建立成功之后并不释放并定时发送垃圾数据包给服务器使连接得以长时间保持。这样一个IP地址就可以和服务器建立成百上千的连接，而服务器可以承受的连接数是有限的，这就达到了拒绝服务的效果。 另外，蠕虫大规模爆发的时候，由于蠕虫代码比较简单，传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫，则表现为大范围扫描行为。这是在判断Connection Flooding时需要注意的。 该攻击的一般表现形式是：在受攻击的服务器上使用netstat –an命令来查看，会发现大量连接状态来自少数的几个源。如果统计的话，可以看到连接数对比平时出现异常。并且增长到某一阈值之后开始波动，说明此时可能已经接近性能极限。因此，对这种攻击的判断原则为：在流量上体现并不大，甚至可能会很小;出现大量的ESTABLISH状态;新建的ESTABLISH状态总数有波动。 防范该攻击主要有如下方法。 · 主动清除残余连接。 · 对恶意连接的IP进行封禁。 · 限制每个源IP的连接数。 · 可以对特定的URL进行防护。 · 反查Proxy后面发起>

1、TCP洪水攻击（SYN Flood）

TCP洪水攻击是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷；

发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。

导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

2、反射性攻击（DrDoS）

反射型的 DDoS 攻击是一种新的变种，与DoS、DDoS不同，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果，从而四两拨千斤。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。

3、CC攻击（>

>

4、直接僵尸网络攻击

僵尸网络就是我们俗称的“肉鸡”，现在“肉鸡”不再局限于传统PC，越来越多的智能物联网设备进入市场，且安全性远低于PC，这让攻击者更容易获得大量“肉鸡”；

也更容易直接发起僵尸网络攻击。根据僵尸网络的不同类型，攻击者可以使用它来执行各种不同的攻击，不仅仅是网站，还包括游戏服务器和任何其他服务。

5、DOS攻击利用一些服务器程序的bug、安全漏洞、和架构性缺陷攻击

然后通过构造畸形请求发送给服务器，服务器因不能判断处理恶意请求而瘫痪，造成拒绝服务。以上就是墨者安全认为现阶段出现过的DDOS攻击种类，当然也有可能不是那么全面，DDOS攻击的种类复杂而且也不断的在衍变，目前的防御也是随着攻击方式再增强。

1、用电脑直接接到电信的接口设备上，如果电信给你提供的是光纤收发器就直接把电脑接到光纤收发器上，不要接路由器。然后做ping测试、在线看视频、下载测试，如果都正常的话，就进行第二步。如果不正常就是电信的问题，打10000号让电信的人来处理。
2、把路由器接到光纤收发器上，然后把测试的电脑接到路由器上（注意不要把其他的电脑接入到路由器），单独用测试电脑测试，如果正常就进入第3不，如果不正常就检查路由器的配置是否有限速，或路由器是否坏了（比如大量发送广播包）。
3、把交换机单个单个的接入路由器，以交换机为单位分段检查网络中的电脑是否有下载，后大量发广播。还有就是要查看交换机是否大量发广播。
4、检查交换机是否成环，如果是不支持STP(生成树协议的交换机)或交换机支持STP但没开启STP都会引发广播风暴。
备注：你1M的带宽接了40台电脑，带宽肯定低了，按正常浏览网页需求，一台PC用100Kbps计算，40台PC都要4Mbps以上才够用，如果要经常收发邮件的话，建议在公司内网架设一台邮件服务器，统一收发邮件，然后各PC到服务器上收自己的邮件，提供带宽利用率。

---