ACK 洪水攻擊是指攻擊者試圖用?TCP?ACK 數(shù)據(jù)包使服務(wù)器過載。像其他?DDoS 攻擊一樣，ACK 洪水的目的是通過使用垃圾數(shù)據(jù)來減慢攻擊目標(biāo)的速度或使其崩潰，從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標(biāo)服務(wù)器被迫處理接收到的每個 ACK 數(shù)據(jù)包，消耗太多計算能力，以致無法為合法用戶提供服務(wù)。

想象一下，一個惡作劇呼叫者用虛假消息填充某人的語音信箱，使真實呼叫者的語音留言無法進入?，F(xiàn)在假設(shè)，這些虛假消息全部說的是：“嗨，我打電話來是跟你說我已收到你的信息?！边@有點像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包？

通過 Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段，稱為數(shù)據(jù)包。想象一下，某人想在 Twitter 上發(fā)表一個深入的觀點或講一個長篇故事，不得不將其文本分割成 280 個字符的片段，并以一系列推文的形式發(fā)布，而不是一次性發(fā)布全部。對于那些不使用 Twitter 的人，可以想一下沒有專用短信應(yīng)用的手機如何將長短信文本分成幾個較小的部分。

傳輸控制協(xié)議（TCP）是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標(biāo)頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標(biāo)頭來告訴接收方有多少個數(shù)據(jù)包以及它們應(yīng)以什么順序到達(dá)。標(biāo)頭還可以指示數(shù)據(jù)包的長度和類型等信息。

這有點像給文件夾取名，讓人們知道其中的內(nèi)容?；氐?Twitter 的例子，發(fā)布大量推文的人通常會指明該系列中有多少條推文，以及每條推文的編號以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包？

ACK 表示“確認(rèn)”。ACK 數(shù)據(jù)包是確認(rèn)接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標(biāo)頭中設(shè)置了“ACK”標(biāo)志的 TCP 數(shù)據(jù)包。

ACK 數(shù)據(jù)包隸屬于 TCP 握手，后者是三個連續(xù)的步驟，用于在 Internet 上任何兩個連接的設(shè)備之間啟動對話（就像現(xiàn)實生活中人們在開始交談之前通過握手來問候一樣）。TCP 握手的三個步驟是：

1. SYN
2. SYN ACK
3. ACK

打開連接的設(shè)備（比如，用戶的筆記本電腦）通過發(fā)送 SYN（“同步”的縮寫）數(shù)據(jù)包來啟動三向握手。位于連接另一端的設(shè)備（假設(shè)是托管在線購物網(wǎng)站的服務(wù)器）以 SYN ACK 數(shù)據(jù)包答復(fù)。最后，用戶的筆記本電腦發(fā)送一個 ACK 數(shù)據(jù)包，此時三向握手宣告完成。此過程可確保兩個設(shè)備都已聯(lián)機并且準(zhǔn)備好接收其他數(shù)據(jù)包，本例中為允許用戶加載網(wǎng)站。

但是，這并非使用 ACK 數(shù)據(jù)包的唯一時間。TCP 協(xié)議要求連接的設(shè)備確認(rèn)它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問一個托管圖片的網(wǎng)頁。圖片分解為數(shù)據(jù)包，并發(fā)送到用戶的瀏覽器。整個圖片到達(dá)后，用戶設(shè)備就會向主機服務(wù)器發(fā)送一個 ACK 數(shù)據(jù)包，以確認(rèn)一個像素也沒丟失。如果沒有此 ACK 數(shù)據(jù)包，主機服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標(biāo)頭中設(shè)置了 ACK 標(biāo)志的任何 TCP 數(shù)據(jù)包，因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫表單并將數(shù)據(jù)提交給服務(wù)器，則筆記本電腦可以將其中一個數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨的數(shù)據(jù)包。

ACK 洪水攻擊如何工作？

ACK 洪水以需要處理收到的每個數(shù)據(jù)包的設(shè)備為目標(biāo)。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標(biāo)。負(fù)載均衡器、路由器和交換機不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來基本相同，因此，如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)?過濾掉不必要的 ACK 數(shù)據(jù)包，就很難阻止 ACK 洪水。盡管看起來很相似，但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分，也稱為有效負(fù)載。為了顯得合法，它們僅需在 TCP 標(biāo)頭中包含 ACK 標(biāo)志。

ACK 洪水是第 4 層（傳輸層）DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作？

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同，但基本思路仍然相同：用過多的數(shù)據(jù)包來壓垮目標(biāo)。

記住 TCP 三向握手的工作方式：握手的第二步是 SYN ACK 數(shù)據(jù)包。通常，服務(wù)器在響應(yīng)來自客戶端設(shè)備的 SYN 數(shù)據(jù)包時發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中，攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標(biāo)。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分，它們的唯一目的是打斷目標(biāo)的正常運作。

攻擊者也有可能在?SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊？

目前防御ACK的最好方法是高防CDN?，高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會傳遞與開放 TCP 連接無關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會到達(dá)源站服務(wù)器。由數(shù)據(jù)中心組成的?CDN 網(wǎng)絡(luò)的規(guī)模足夠大，足以吸收幾乎任何規(guī)模的 DDoS 攻擊，因此 ACK 洪水對 高防CDN 幾乎沒有影響。