ACK 洪水攻擊是指攻擊者試圖用?TCP?ACK 數(shù)據(jù)包使服務(wù)器過(guò)載。像其他?DDoS 攻擊一樣，ACK 洪水的目的是通過(guò)使用垃圾數(shù)據(jù)來(lái)減慢攻擊目標(biāo)的速度或使其崩潰，從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標(biāo)服務(wù)器被迫處理接收到的每個(gè) ACK 數(shù)據(jù)包，消耗太多計(jì)算能力，以致無(wú)法為合法用戶提供服務(wù)。

想象一下，一個(gè)惡作劇呼叫者用虛假消息填充某人的語(yǔ)音信箱，使真實(shí)呼叫者的語(yǔ)音留言無(wú)法進(jìn)入?，F(xiàn)在假設(shè)，這些虛假消息全部說(shuō)的是：“嗨，我打電話來(lái)是跟你說(shuō)我已收到你的信息?！边@有點(diǎn)像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包？

通過(guò) Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段，稱(chēng)為數(shù)據(jù)包。想象一下，某人想在 Twitter 上發(fā)表一個(gè)深入的觀點(diǎn)或講一個(gè)長(zhǎng)篇故事，不得不將其文本分割成 280 個(gè)字符的片段，并以一系列推文的形式發(fā)布，而不是一次性發(fā)布全部。對(duì)于那些不使用 Twitter 的人，可以想一下沒(méi)有專(zhuān)用短信應(yīng)用的手機(jī)如何將長(zhǎng)短信文本分成幾個(gè)較小的部分。

傳輸控制協(xié)議（TCP）是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標(biāo)頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標(biāo)頭來(lái)告訴接收方有多少個(gè)數(shù)據(jù)包以及它們應(yīng)以什么順序到達(dá)。標(biāo)頭還可以指示數(shù)據(jù)包的長(zhǎng)度和類(lèi)型等信息。

這有點(diǎn)像給文件夾取名，讓人們知道其中的內(nèi)容?；氐?Twitter 的例子，發(fā)布大量推文的人通常會(huì)指明該系列中有多少條推文，以及每條推文的編號(hào)以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包？

ACK 表示“確認(rèn)”。ACK 數(shù)據(jù)包是確認(rèn)接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標(biāo)頭中設(shè)置了“ACK”標(biāo)志的 TCP 數(shù)據(jù)包。

ACK 數(shù)據(jù)包隸屬于 TCP 握手，后者是三個(gè)連續(xù)的步驟，用于在 Internet 上任何兩個(gè)連接的設(shè)備之間啟動(dòng)對(duì)話（就像現(xiàn)實(shí)生活中人們?cè)陂_(kāi)始交談之前通過(guò)握手來(lái)問(wèn)候一樣）。TCP 握手的三個(gè)步驟是：

1. SYN
2. SYN ACK
3. ACK

打開(kāi)連接的設(shè)備（比如，用戶的筆記本電腦）通過(guò)發(fā)送 SYN（“同步”的縮寫(xiě)）數(shù)據(jù)包來(lái)啟動(dòng)三向握手。位于連接另一端的設(shè)備（假設(shè)是托管在線購(gòu)物網(wǎng)站的服務(wù)器）以 SYN ACK 數(shù)據(jù)包答復(fù)。最后，用戶的筆記本電腦發(fā)送一個(gè) ACK 數(shù)據(jù)包，此時(shí)三向握手宣告完成。此過(guò)程可確保兩個(gè)設(shè)備都已聯(lián)機(jī)并且準(zhǔn)備好接收其他數(shù)據(jù)包，本例中為允許用戶加載網(wǎng)站。

但是，這并非使用 ACK 數(shù)據(jù)包的唯一時(shí)間。TCP 協(xié)議要求連接的設(shè)備確認(rèn)它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問(wèn)一個(gè)托管圖片的網(wǎng)頁(yè)。圖片分解為數(shù)據(jù)包，并發(fā)送到用戶的瀏覽器。整個(gè)圖片到達(dá)后，用戶設(shè)備就會(huì)向主機(jī)服務(wù)器發(fā)送一個(gè) ACK 數(shù)據(jù)包，以確認(rèn)一個(gè)像素也沒(méi)丟失。如果沒(méi)有此 ACK 數(shù)據(jù)包，主機(jī)服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標(biāo)頭中設(shè)置了 ACK 標(biāo)志的任何 TCP 數(shù)據(jù)包，因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫(xiě)表單并將數(shù)據(jù)提交給服務(wù)器，則筆記本電腦可以將其中一個(gè)數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨(dú)的數(shù)據(jù)包。

ACK 洪水攻擊如何工作？

ACK 洪水以需要處理收到的每個(gè)數(shù)據(jù)包的設(shè)備為目標(biāo)。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標(biāo)。負(fù)載均衡器、路由器和交換機(jī)不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來(lái)基本相同，因此，如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)?過(guò)濾掉不必要的 ACK 數(shù)據(jù)包，就很難阻止 ACK 洪水。盡管看起來(lái)很相似，但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分，也稱(chēng)為有效負(fù)載。為了顯得合法，它們僅需在 TCP 標(biāo)頭中包含 ACK 標(biāo)志。

ACK 洪水是第 4 層（傳輸層）DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作？

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同，但基本思路仍然相同：用過(guò)多的數(shù)據(jù)包來(lái)壓垮目標(biāo)。

記住 TCP 三向握手的工作方式：握手的第二步是 SYN ACK 數(shù)據(jù)包。通常，服務(wù)器在響應(yīng)來(lái)自客戶端設(shè)備的 SYN 數(shù)據(jù)包時(shí)發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中，攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標(biāo)。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分，它們的唯一目的是打斷目標(biāo)的正常運(yùn)作。

攻擊者也有可能在?SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊？

目前防御ACK的最好方法是高防CDN?，高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會(huì)傳遞與開(kāi)放 TCP 連接無(wú)關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會(huì)到達(dá)源站服務(wù)器。由數(shù)據(jù)中心組成的?CDN 網(wǎng)絡(luò)的規(guī)模足夠大，足以吸收幾乎任何規(guī)模的 DDoS 攻擊，因此 ACK 洪水對(duì) 高防CDN 幾乎沒(méi)有影響。