TCP_IP和五层学习模型.doc

第二节 TCP/IP协议栈是Internet最基本的协议、Internet国际互联网络的基础一、五层学习模型OSI的七层协议体系结构的概念清楚，理论也较完善，但它既复杂又不实用。TCP/IP则不同它是一个4层的体系结构，包含应用层、传输层、网际IP层、网络接口层。不过从实质上讲，TCP/IP只有最上面的三层，因为最下面的网络接口层并没有什么具体的内容。因此在学习计算机网络的原理时往往采用折中的办法，即综合OSI和TCP/IP的优点采用一种只有5层协议的体系结构。如下图：5 应用层 4 传输层3 网络层2 数据链路层1 物理层应用层直接为用户的应用进程提供服务。在因特网中的应用层协议很多，如：HTTP、SMTP、FTP等等。传输层的任务就是负责两个主机中进程之间的通信提供服务。传输层主要使用TCP、UDP这两种协议。网络层负责为分组交换网上的不同主机提供通信服务。网络层主要使用的协议是：IP以及一些辅助的协议如ARP、ICMP等。数据链路层将网络层交付下来的数据报组装成帧（framing），在两个相邻结点的链路上“透明”地传送帧中的数据。在物理层上所传数据的单位是比特。物理层的任务就是“透明”的传送比特流。二、理解分层1.物理层可以将物理层的主要任务描述为确定与传输媒体的接口有关的一些特性，即：a)机械特性 指明接口所用接线器的形状和尺寸、引脚数目和排列、固定和锁定装置等等。 b)电气特性 指明在接口线缆的各条线上出现的电压的范围。 c)功能特性 指明某一条线上出现某一电平的电压表示何种意义。 d)过程特性 指明对于不同功能的各种可能事件的出现顺序。注：因为数据在计算机中多采用并行的传输方式，在通信线路上的传输方式一般都是串行传输（出于经济上的考虑），即逐个比特按照时间顺序传输。因此物理层还要完成传输方式的转换。通信的目的是传送消息（message）。如语音、文字、图像等都是信息。数据是运送消息的实体。信号（signal）则是数据的电气的或电磁的表现。根据信号中代表消息的参数的取值方式不同，信号可以分成两大类：a)模拟信号，或连续信号代表消息的参数取值是连续的。b)数字信号，或离散信号代表消息的参数取值是离散的。注：在使用时间域（简称时域）的波形表示数字信号时，则代表不同离散数值的基本波形就称为码元。在使用二进制编码时，只有两种不同的码元，一种代表0状态一种代表1状态。从概念上讲，限制码元在信道上的传输速率的因素有两个：a)信道能过通过的频率范围：如果信道的频带越宽，也就是能够通过的信号的高频分量越多，那么就可以用更高的速率传送码元而不出现码间串扰。但是我们需要知道的是在任何信道中，码元传输的速率是有上限的，传输速率超过此上限，就会出现严重的码间串扰的问题，使接收端对码元的判决（即识别）成为不可能。b)信噪比（S/N）：噪声存在于所有的电子设备和通信信道中。由于噪声是随机产生的，它的瞬间值有时会很大。因此噪声会使接收端对码元的判决产生错误（1判决为0，0判决为1）。但噪声是相对的，如果信号相对较强，那么噪声的影响就相对较小。因此信噪比就很重要。注：香农公式：C=W log2（1+S/N） W：信道的带宽（信号具有的频带宽度，单位为Hz）；S：信道内所传信号的平均功率；N：信道内部的高斯噪声功率。2.数据链路层数据链路层使用的信道主要有以下两种类型：点对点信道 主要有PPP协议广播信道3.网络层网络层向上只提供简单灵活的、无连接的、尽最大努力交付的数据报服务。它是一种不可靠的交付。网络层的主要协议有:网际协议IP（Internet Protocol）以及与IP协议配套使用的4个协议，地址解析协议（Address Resolution Protocol，ARP）、逆地址解析协议（Reverse Address Resolution Protocol，RARP）、网际控制报文协议（Internet Control Message Protocol，ICMP）、网际组管理协议（Internet Group Management Protocol，IGMP）。以下为这4个协议与IP协议的关系：应用层各种应用层协议（HTTP、SMTP、FTP、TFTP等）传输层TCP、UDP网络层ICMP、IGMPIPARP、RARP数据链路层HDLC、PPP、Frame Relay等物理层物理硬件a)地址解析协议ARP：ARP协议可以由已知主机的IP地址在网络上查找它的硬件地址（MAC地址）。解决这个问题的方法是在主机ARP高速缓存中存放一个从IP地址到MAC地址的映射表，并且这个映射表还经常动态更新（新增或超时删除）。注：ARP请求分组是用广播方式发送的，但ARP响应分组是普通的单播，即从一个源地址发送到目的地址。ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题。如果所要找的主机和源主机不在同一个局域网上，那么就要通过 ARP 找到一个位于本局域网上的某个路由器（默认网关）的硬件地址，然后把分组发送给这个路由器，让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。b)逆地址解析协议RARP：RARP协议的作用是使只知道自己硬件地址的主机能过通过RARP协议找出其IP地址。因为现在的DHCP协议已经包含了RARP协议的功能，因此现在RARP协议已经很少用了。c)网际控制报文协议ICMP：ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP报文（ICMP数据+首部）作为IP层数据报的数据，加上IP数据报的首部组成IP数据报发送出去。类型（1个字节）代码（1个字节）检验和（2个字节）（这4个字节取决于ICMP报文的类型）ICMP的数据部分（长度取决于类型）ICMP报文的前4个字节是同一的格式，即类型、代码、检验和。代码字段是为了进一步区分某种类型中的不同情况。检验和字段用来检验整个ICMP报文。根据类型字段的值不同我们可以区别出几种常用的ICMP报文：值为3时，表示当路由器或主机不能交付数据报时就向源点发送终点不可达的差错报告报文。值为4时，表示当路由器或主机因拥塞而丢弃数据报时就向源点发送源点抑制的差错报告报文，是源点知道应当把数据报的发送速率放慢。值为11时，当路由器收到生存时间为0的数据报时，除丢弃该数据报外还要向源点发送时间超过的差错报告报文；当终点在预先规定的时间内不能收到一个数据报的全部数据报片时，就把已收到的数据报片都丢弃，并向源点发送时间超过的差错报告报文。值为12时，当路由器或目的主机收到的数据报首部中有的字段的值不正确时，就丢弃该数据报，并向源点发送参数问题的差错报告报文。值为5时，路由器把改变路由的差错报告报文（路由重定向报文）发送给主机，让主机知道下次应该把数据报发送给另外的路由器（可通过的更好的路由）。值为8或0时，表示回送请求和回答报文。ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机将给源主机或路由器发送ICMP回送回答报文。这种询问报文用来测试目的站是否可达以及了解其有关状态。值为13或14时，表示时间戳请求和回答报文。ICMP时间戳请求报文时请某个主机或路由器回答当前的日期和时间。收到时间戳请求报文的主机或路由器将发送一个时间戳回答报文。时间戳请求与回答可用来进行时钟同步和测量时间。d)网际组管理协议IGMP：IGMP协议是因特网协议家族中的一个组播协议，用于 IP 主机向任一个直接相邻的路由器报告他们的组成员情况。IGMP 信息封装在 IP 报文中，其 IP 的协议号为 2。IGMP 具有三种版本，即 IGMP v1、v2 和 v3。e)网际协议IP：IP数据报的格式如下：版本占 4 位，指 IP 协议的版本。目前的 IP 协议版本号为4 (即IPv4)首部长度占 4 位，可表示的最大数值是15个单位(一个单位为4字节)因此IP的首部长度的最大值是60字节。区分服务占 8 位，用来获得更好的服务。（在旧标准中叫做服务类型，但实际上一直未被使用过。）只有在使用区分服务（DiffServ）时，这个字段才起作用。在一般的情况下都不使用这个字段。总长度占16位，指首部和数据之和的长度，单位为字节，因此数据报的最大长度为65535字节。总长度必须不超过最大传送单元 MTU。标识(identification)占16位，它是一个计数器，用来产生数据报的标识。标志(flag)占3位，目前只有前两位有意义。标志字段的最低位是MF (More Fragment)。MF=1表示后面“还有分片”。MF=0表示最后一个分片。标志字段中间的一位是DF (Dont Fragment)。只有当DF=0时才允许分片。片偏移占12位，较长的分组在分片后某片在原分组中的相对位置。片偏移以8个字节为偏移单位。生存时间占8位，记为TTL (TimeToLive)数据报在网络中可通过的路由器数的最大值。协议占8 位，字段指出此数据报携带的数据使用何种协议以便目的主机的 IP 层将数据部分上交给哪个协议处理。首部检验和占16 位，字段只检验数据报的首部不检验数据部分。这里不采用 CRC 检验码而采用简单的计算方法。因特网的路由选择协议因特网将整个互联网划分为许多较小的自治系统（autonomous system，AS），它指的是在单一的技术管理下的一组路由器，而这些路由器使用一种AS内部路由选择协议和共同的度量以确定分组在该AS内的路由，同时还使用一种AS之间的路由选择协议用以确定分组在AS之间的路由。自治系统AS的定义强调下面的事实：尽管一个AS使用了多种内部路由选择协议和度量，但重要的是一个AS对其他AS表现出的是一个单一的和一致的路由选择策略。这样，因特网就把路由选择协议分为两大类，即：a)内部网关协议（Interior Gateway Protocol, IGP），用于一个AS内部的路由选择。如：RIP、EIGRP、OSPF、IS-IS等。b)外部网关协议（Exterior Gateway Protocols，EGP），用于不同AS之间的路由选择。如：BGP-4等。内部网关协议a)路由信息协议（Routing Information Protocol，RIP），一种分布式的基于向量的路由选择协议。RIP的特点：仅和相邻路由器交换信息。路由器交换的信息是当前路由器所知道的全部信息，即自己的全部路由表。按固定的时间间隔来交换路由信息。注：RIP协议允许一条路径最多只能包含15个路由器，因此“距离”等于16时就相当于不可达。RIP协议使用传输层的用户数据报UDP进行传送（使用UDP的520端口）。b)开放最短路径优先(Open Shortest Path First,OSPF)，一种分布式的基于链路状态的路由选择协议。OSPF的特点：用洪泛法向本AS内的所有路由器发送信息。发送的信息就是与本路由器相邻的所有路由器的链路状态，但这只是路由器所知道的部分信息。只有当链路状态发生变化时，路由器才向AS内的其他路由器发送此信息。注：为了使OSPF能够用于规模很大的网络，将一个AS再划分为若干个更小的范围，叫区域。每一个区域都有一个32位的区域标识符（用点分十进制表示）。当然在一个区域内路由器的数量最好不要超过200个。OSPF协议不用UDP而是直接用IP数据报传送（其IP数据报首部的协议字段值为89），它的可靠性由理由协议自己保障。外部网关协议边界网关协议（Border Gateway Protocol，BGP），一种基于路径向量的路由选择协议用于不同的AS之间交换路由信息的协议。在RFC 4271中规定了BGP-4的4中报文：a)OPEN（打开）报文，用来与相邻的另一个BGP发言人建立关系，是通信初始化。b)UPDATE（更新）报文，用来通告某一路由的信息，以及列出要撤销的多条路由。c)KEEPALIVE（保活）报文，用来周期性的证实邻站的连通性（一般是30秒）。d)NOTIFICATION（通知）报文，用来发送检测到的差错。注：两个BGP发言人通过TCP的179号端口建立联系，以交换路由信息。4.传输层传输层提供应用进程间端到端的逻辑通信。它向高层用户屏蔽了下面网络核心的细节（如：网络拓扑、所使用的路由协议等等）。传输层的端口，它只是为了标志本计算机应用层中的各进程在和应用层交付时的层间接口。运输层的复用和分用功能都要通过端口才能实现。a)服务器使用的端口号：熟知端口，数值一般为 01023。登记端口号，数值为102449151，为没有熟知端口号的应用程序使用的。使用这个范围的端口号必须在IANA登记，以防止重复。b)客户端使用的端口号：客户端口号或短暂端口号，数值为4915265535，留给客户进程选择暂时使用。当服务器进程收到客户进程的报文时，就知道了客户进程所使用的动态端口号。通信结束后，这个端口号可供其他客户进程以后使用。用户数据报协议（User Datagram Protocol，UDP），它只在 IP 的数据报服务之上增加了很少一点的功能，即端口的功能和差错检测的功能。UDP的主要特点：UDP 是无连接的，即发送数据之前不需要建立连接。UDP 使用尽最大努力交付，即不保证可靠交付。没有拥塞控制，很适合多媒体通信的要求。UDP 是面向报文的（对应用层交下来的报文，在添加首部后就向下交付给IP层）。 UDP 支持一对一、一对多、多对一和多对多的交互通信。UDP 的首部开销小，只有 8 个字节。传输控制协议（Transmission Control Protocol，TCP），是一种面向连接的、可靠的、基于字节流的运输层通信协议，由IETF的RFC 793说明。TCP的主要特点：TCP是面向连接的运输层协议。每一条TCP连接只能有两个端点(endpoint)，每一条TCP连接只能是点对点的（一对一）。 TCP提供可靠交付的服务。TCP提供全双工通信。面向字节流（流，stream指的是流入到进程或从进程流出的字节序列）。注：TCP的连接端点是套接字（插口），即（IP地址：端口号）TCP报文段的首部格式：序号占4字节，TCP连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。确认号占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。数据偏移（即首部长度）占4位，它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远。“数据偏移”的单位是32位字（以 4 字节为计算单位）。保留字段占6位，保留为今后使用，但目前应置为0。紧急URG 当URG=1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。确认ACK只有当 ACK=1时确认号字段才有效。当 ACK=0时，确认号无效。 推送PSH (PuSH)接收TCP收到PSH = 1 的报文段，就尽快地交付接收应用进程，而不再等到整个缓存都填满了后再向上交付。复位RST (ReSeT) 当 RST=1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。同步SYN同步 SYN=1表示这是一个连接请求或连接接受报文。终止FIN (FINis)用来释放一个连接。FIN=1 表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。窗口占2字节，用来让对方设置发送窗口的依据，单位为字节。检验和占2字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。紧急指针占16位，指出在本报文段中紧急数据共有多少个字节（紧急数据放在本报文段数据的最前面）。选项长度可变。TCP最初只规定了一种选项，即最大报文段长度MSS。MSS告诉对方TCP：“我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节。” （MSS (Maximum Segment Size)是TCP报文段中的数据字段的最大长度。所以MSS并不是整个TCP报文段的长度，而是“TCP报文段长度减去TCP首部长度”）TCP可靠传输和流量控制：TCP的滑动窗口是以字节为单位的。前沿：不动-没有收到新的确认（窗口不变） 收到新的确认（窗口变小） 前移收到新的确认后沿：不动-没有收到新的确认 前移收到了新的确认TCP的拥塞控制：几种拥塞控制的方法如下：慢开始：在主机刚刚开始发送报文段时可先设置拥塞窗口cwnd=1，即设置为一个最大报文段MSS的数值。在每收到一个对新的报文段的确认后，将拥塞窗口加1，即增加一个MSS的数值（重传的不算在内）。用这样的方法逐步增大发送端的拥塞窗口cwnd，可以使分组注入到网络的速率更加合理。慢开始门限 ssthresh 的用法如下：当 cwnd ssthresh 时，停止使用慢开始算法而改用拥塞避免算法。当 cwnd = ssthresh 时，既可使用慢开始算法，也可使用拥塞避免算法。拥塞避免：思路是让拥塞窗口cwnd缓慢地增大，即每经过一个往返时间RTT就把发送方的拥塞窗口cwnd加1，而不是加倍（慢开始算法为加倍），使拥塞窗口cwnd按线性规律缓慢增长。快重传：快重传算法首先要求接收方每收到一个失序的报文段后就立即发出重复确认。这样做可以让发送方及早知道有报文段没有到达接收方。 发送方只要一连收到三个重复确认就应当立即重传对方尚未收到的报文段。 不难看出，快重传并非取消重传计时器，而是在某些情况下可更早地重传丢失的报文段。快恢复：当发送端收到连续三个重复的确认时，就执行“乘法减小”算法，把慢开始门限 ssthresh 减半。但接下去不执行慢开始算法。 由于发送方现在认为网络很可能没有发生拥塞，因此现在不执行慢开始算法，即拥塞窗口 cwnd 现在不设置为 1，而是设置为慢开始门限 ssthresh 减半后的数值，然后开始执行拥塞避免算法（“加法增大”），使拥塞窗口缓慢地线性增大。TCP的运输连接管理：连接建立的“三次握手”以及连接释放的“四次握手”：注：DDOS（分布式拒绝服务攻击），目前最流行也是最好用的攻击方法是使用SYN-Flood进行攻击也就是SYN泛洪攻击。SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃。5.应用层（略）附一：IP寻址排错1.Ping 检测TCP/IP协议栈2.Ping 本机IP地址检测NIC卡3.Ping 网关地址（路由器地址）检测本地网络的连通性4.Ping 远端服务器Ping IP：检测本地网络与远端服务器之间的连通性；Ping域名：检测DNS设置附二：简介DDOS攻击1.基本概念DDoS攻击可以分为三类：容量耗尽攻击（volumetric attack），这种攻击企图耗尽转发或链接容量；状态表耗尽攻击（state-exhaustion attacks），这种攻击企图耗尽基础设施和服务器里面的状态表；以及应用层攻击，这种攻击企图耗尽应用层资源。在所有这些攻击中，攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。传统的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。2.DDOS的攻击手段TCP全连接攻击和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS软件中非常常见。SYN变种攻击发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。TCP混乱数据包攻击发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。针对用UDP协议的攻击很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也可能被拦截，针对WEB Server的多连接攻击通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，针对WEB Server的变种攻击通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU，这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。针对WEB Server的变种攻击通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪。针对游戏服务器的攻击因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏。传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。3.DDOS攻击的防护手工防护一般而言手工方式防护DDOS主要通过两种形式：a)系统优化 主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。b)网络追查 遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。路由器通过路由器，我们可以实施某些安全措施，比如ACL等，这些措施从某种程度上确实可以过滤掉非法流量。另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击，但是对于今天的DDOS攻击而言，这种方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址，如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击，这样就完全可以绕过uRPF防护策略。增加防火墙和入侵检测设备增加自身抵御攻击的能力：采用高性能的网络设备；充足的网络带宽保证；升级主机服务器硬件等尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力。把网站做成静态页面大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。若需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用的脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个。安装专业抗DDOS防火墙其他防御措施以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。4.DDOS应付方法定期扫描要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。在骨干节点配置防火墙防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。用足够的机器承受黑客攻击这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。充分利用网络设备保护网络资源所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。过滤不必要的服务和端口过滤不必要的服务和端口，即在路由器上过滤假IP，只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。检查访问者的来源使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。过滤所有RFC1918 IP地址RFC1918 IP地址是内部网的IP地址，像、 和，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。限制SYN/ICMP流量用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP包所能占有的最高贷款，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。附三：ICMP重定向（ICMP Redirect）1.描述ICMP网络中的路由器通过相互之间的共同努力，将用户的数据包转发到目的地。通常情况下，主机都会将去往远程网络的数据包发送到路由器，路由器再尽最大努力转发数据。但是在某些情况下，收到数据包的路由器可能并不是去往目的地的最优选择，也就是说该路由器并不在源与目标的路径当中，或者说数据源应该将数据交给其它路由器来转发。如果某台路由器真的发现自己不应该为用户转发数据，而希望让用户选择其它路由器来转发数据，那么它就会通过向数据源发送ICMP重定向（ICMP Redirect）来告诉对方，让对方不要再将数据包发向自己，而应该发到其它路由器。另外路由器在向数据源发送ICMP重定向的同时，也会正常转发收到的数据包，并不会中断网络。2.需要路由器向源发送ICMP重定向的情况有两种：当路由器从某个接口收到数据包后，还要将数据包从同一个接口发