ACK Flood 攻击

什么是 ACK Flood 攻击

是在 TCP 连接建立之后，所有传输的 TCP 报文都是带有 ACK 标志位的数据包

攻击原理

• 接收端在接收到一个带有 ACK 标志位的数据包的时候，需要检查数据包所表示的四元组（源/目的 IP 、源/目的端口）是否存在
• 如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包
• 如发现数据包不合法，如所指向的目的端口未开放，则操作系统协议栈会回应 RST 包告诉对方此端口不存在
• 服务器要做两个动作，查表和回应 ACK/RST

攻击危害

• 这种攻击方式没有 SYN Flood 给服务器带来的冲击大（SYN Flood 会占用连接）
• 随机源 IP 的 ACK 小包会被 Server 很快丢弃，所有一定大流量的 ACK 小包冲击才会对 Server 造成影响
• 几十kpps 的 ACK Flood 不会构成威胁，但更高数量的 ACK Flood 冲击会造成网卡中断频率过高负载过重而停止响应
• 带有超大载荷的 ACK Flood 攻击，会导致链路拥塞
• 攻击报文到达服务器导致处理性能耗尽，从而拒绝正常服务
• 极高速率的变源变端口 ACK Flood 攻击，很容易导致依靠会话转发的设备转发性能降低甚至成网络瘫痪

（完）