根 据黑客攻击心理学分析，通常黑客攻击的目标是一个明确的Web 服务器，目的通常是让其无法正常访问。通常黑客在实施一次攻击之前会先进行小规模试探性攻击，例如制造几分钟的大量SYN数据包并观察目标网站的访问是否 受到了预期的影响。只有黑客看到此类试探性攻击有效后，才会制造后续的大规模攻击。而按IDC之前的惯例来处理此类攻击的方法通常是，将受害主机断开网线 并将其地址列入防火墙或者黑洞路由。而此措施正好帮助黑客实现了他的攻击目的，显然黑客不会因此停手，而通常情况下黑客会为了巩固攻击结果而加大火力或者 持续火力来攻击。这并不是我们所希望看到的。 事实证明我们迫切需要一种防护方式让黑客看起来他的攻击对于目标主机是无效的，使其放弃攻击或改用其他网站渗透攻击（对IDC不造成影响的）等，而不是帮 助黑客实现他的攻击目的。—— 这就是我们将要引入的新安全防护概念

黑客最常见的攻击方式大体为 拒绝服务 ( DDoS ) 和 ARP欺骗。对IDC资源产生影响的常见拒绝服务可分为 大流量攻击 和 大量并发连接攻击 。 下面我们针对这三种攻击进行如下分析：

大量并发连结数攻击：

此 类攻击对于具备硬件或软件防火墙的网络最有效。每个防火墙都有一个会话(Session)数值代表其可以处理的同时并发连接数的指标。其攻击的原理就是制 造的伪造源地址的TCP SYN握手请求发往目标主机，而目标主机在受到此请求后还会向其伪造的源地址回应一个数据包，这样对于防火墙来说就构成了一个会话。而由于每个数据包都是 来自并回应到伪造地址的，因此除了等待会话超时否则它永远不会被主动关闭。那么不管这个防火墙具备多大的处理能力，也很快会被耗尽资源，其结果将导致受此 防火墙保护的整个网络将瘫痪，而不仅是一台目标主机。

大流量攻击：

当 黑客制造了一定的并发连但对目标网络和防火墙没有构成威胁的时候，他们通常还会想到继续加大火力，而因此就产生了大流量攻击。而能黑客并不能精确计算出当 他们制造了10Mbps DDoS流量后最终到达受害主机会被放大多少倍。这可能是由于我们IDC的网络结构帮助了黑客。 例如：

• 受害主机会回应伪造的数据包， 使流量被放大了一倍
• 我们的网络采用了Truck聚合技术，由于每个数据包要被封包，而每个数据包本身都很小，因此流量被放大了大约10%-15%。
• 由于目标主机负载问题产生的丢包，虽然丢了一个数据包，但其数据包会被广播到交换机的各个端口，因此流量被放大了N倍。

虽然制造洪水攻击并不是很复杂，但不可否认黑客制造1Gbps的流量也是需要一定成本的。因此如果没有我们的不良配置，以及在攻击刚刚发生时候的即时相应通常会让黑客放弃继续增加以至于上Gbps流量的想法。

ARP欺骗攻击：

我 们抵御住了外部攻击，黑客显然不能直接瘫痪我们的网络，单是黑客通常会选择先从另外一个脆弱的主机入手。然后再向同一个C网段的其他主机或者路由器发送 ARP欺骗数据包。相比制造大量流量这样可以最低成本的打道攻击目的。由于数据包来自内往的交换机下，因此我们购买的防火墙显然不能发挥作用。而防范此类 攻击我们应该做的事情是侦听。利用交换机的镜像端口功能，将所有流量复制到一个侦听端口上，然后通过OSI 7层拆包技术来侦听所有过往的ARP包。然后再探测出一张MAC – IP的拓扑表，就可以迅速找到被利用的主机了。

技术实施原理

采 用此方案来处理黑客攻击，我们需要提升两样处理能力。细致拆包和精确的设置防火墙规则， 目前常见的防火墙只能处理OSI 3层或4层的攻击。也就是说只能设置精确到TCP端口的防火规则，这显然是不够的。例如我们把一台web服务器的80端口从防火墙上拦截并限制其访问，那 么其效果岂不等同于拔掉它的网线么，还是帮助黑客实现了攻击目的了。而我们所要做的应该是分析所有发往该主机80端口的数据包，寻找出带有攻击性数据包的 特征和共性，然后针对这种情况设置一条精确匹配的防火规则。 同样是发往该主机80端口的数据包，只有满足我们设定的攻击特征才会被拦截，而且他的数据包全部方行，这才是真中有效的处理方式。

通 常的防火墙产品是无法满足这样的应用需求的，据我所知著名的黑洞防火墙具备此神奇的功能，但购买一台黑洞防火墙的代价甚至大于我一个月的总利润（我宁可舍 弃黑客干掉我网站三天的损失，也不愿意花那一大笔钱）。其他级别的7层防火墙也都价格不菲。在本方案中我们建议使用基于UNIX操作系统的防火墙和侦听方 案。

UNIX 系统的自身安全稳定性想必大家众所周知，FreeBSD UNIX对于防火墙模块的支持不同于其他系统实基于软件实现的，而BSD的防火墙模块可以被直接编译进内核。然后系统工作起来可以把硬件抽象为就是一个硬 件防火墙. 下面我们来简单介绍一下所涉及的3个UNIX核心工具。

• nload 实时过往流量分析工具

  这个工具就像是一个可以每秒进行一次统计的MRTG。在处理攻击的时候我们需要随时知道网络流量的变化，而不是设定一个命令然后等5分钟再去看一下结果。所以他很简单却很实用。

• tcpdump过往流量拆包分析工具

  tcpdump 非常著名，以至于几乎所有的UNIX发行版本中都捆绑了它的各个不同版本。它有丰富的可选参数，几乎可以制定出我们想要得各种侦听模式，而且是OSI-7 层侦听。它与著名的Sniffer抓包工具一样，都是对当前的网络报进行探测并显示，不同之处在于Sniffer更适合于抓包记录并日后分析或取证，而 tcpdump的功夫在于实时抓包侦听。它可以轻松的将每秒100Mbps的过往流量打开展示在我们的面前而不会消耗很高系统资源，更不会因此死机。在攻 击发生的时候出了来了多少流量，我们更需要他来帮助我们知道来的这些流量都是什么，带有什么特征。

• ipfw UNIX内核集成的7层防火墙

  ipfw 并不是一个防火墙软件，具备独立的进程来消耗CPU资源和内存，真正的防火墙系统是UNIX的内核本身，而他就像Unix Shell一样是用于与UNIX的防火墙内核模块交互命令的一个工具。它可以工作与动态防火规则和静态防火规则两种模式，如果是动态规则，那么就像其他防 火墙一样当遇到大量并非连接时候他会被耗尽资源，但是静态防火规则是由于原理不同，因此它没有最大会话数量这个概念。当然也不会因此使网络瘫痪。 最主要的是它是7层防火墙，也就是说我可以清楚地向UNIX内核去描绘：

  #ipfw add 100 deny tcp from 60.0.0.0/8 to 210.72.2.1 dst-port 80 ipttl 116 iplen 40 setup in
  请拦截由60.0.0.0/8这些地址发送到210.72.2.15的tcp 80端口并且ttl =116 并 ip包大小等于40并且类型为SYN并且是流入方向。

  这样我们就可以实现精确匹配工具数据包了。