ACK攻击是什么意思？ACK攻击怎么防御

ACK Flood攻击是TCP连接建立之后，所有传输的TCP报文都是带有ACK标志位的数据包。

接收端在收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。

如在检查中发现数据包不合法，如所指向的目的端口未开放，则操作系统协议栈会回应RST包告诉对方此端口不存在。

当攻击程序每秒钟发送ACK报文的速率达到一定的程度，才能使主机和防火墙的负载有大的变化。当发包速率很大的时候，主机操作系统将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。这时候客户端（以IE为例）的表现就是访问页面反应很慢，丢包率较高。这就是ACK攻击。

此时服务器要做两个动作，查表和回应ack/rst。

这种攻击方式没有syn flood给服务器带来的冲击大(因为syn flood占用连接)，此类攻击一定要用大流量ack小包冲击才会对服务器造成影响。

根据tcp协议栈原理，随机源IP的ack小包应该会被server很快丢弃，因为在服务器的tcp堆栈中没有这些ack包的状态信息。

在实际测试中发现有一些tcp服务对ack flood比较敏感。

对于Apache或者IIS来说，几十kpps的ack flood不会构成威胁，但更高数量的ack flood冲击会造成网卡中断频率过高负载过重而停止响应。

jsp server在数量不多的ack小包冲击下jsp server很难处理正常的连接请求。

所以ack flood不仅危害路由器等网络设备，并且对服务器上的应用也有很大的影响。

攻击危害

attacker利用僵尸网络发送大量的ack报文，会导致以下三种危害：

1、带有超大载荷的ack flood攻击，会导致链路拥塞。

2、攻击报文到达服务器导致处理性能耗尽，从而拒绝正常服务。

3、极高速率的变源变端口ack flood攻击，很容易导致依靠会话转发的设备转发性能降低甚至成网络瘫痪。

防御

现在大部分的防御手段靠硬防，所谓硬防是什么?           机房防火墙以及出口大小决定防御能力以及运维的一个能力强弱，遇到问题有没有第一时间反应做出处理做策略。攻击手段总是千奇百怪这个时候就非常考验运维人员的专业能力以及经验了