SYN Flood分布式攻击的防范方法

包并进行过滤，通过过滤的包被转发给服务器，外部的DNS解析也直接指向服务器，这种防火墙的优点是效率高，可以适应100Mbps-1Gbps的流量，但是这种防火墙如果配置不当，不仅可以让攻击者越过防火墙直接攻击内部服务器，甚至有可能放大攻击的强度，导致整个系统崩溃。

在这两种基本模型之外，有一种新的防火墙模型，它集中了两种防火墙的优势，这种防火墙的工作原理如下所示：

第一阶段，客户机请求与防火墙建立连接：

第二阶段，防火墙伪装成客户机与后台的服务器建立连接

第三阶段，之后所有从客户机来的TCP报文防火墙都直接转发给后台的服务器

这种结构吸取了上两种防火墙的优点，既能完全控制所有的SYN报文，又不需要对所有的TCP数据报文进行代理，是一种两全其美的方法。近来，国外和国内的一些防火墙厂商开始研究带宽控制技术，如果能真正做到严ge控制、分配带宽，就能很大程度上防御绝大多数的SYN攻击。

！