ACK 洪水攻擊是指攻擊者試圖用 TCP ACK 數(shù)據(jù)包使服務(wù)器過載。像其他 DDoS 攻擊一樣，ACK 洪水的目的是通過使用垃圾數(shù)據(jù)來減慢攻擊目標的速度或使其崩潰，從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標服務(wù)器被迫處理接收到的每個 ACK 數(shù)據(jù)包，消耗太多計算能力，以致無法為合法用戶提供服務(wù)。

想象一下，一個惡作劇呼叫者用虛假消息填充某人的語音信箱，使真實呼叫者的語音留言無法進入?，F(xiàn)在假設(shè)，這些虛假消息全部說的是：“嗨，我打電話來是跟你說我已收到你的信息?！边@有點像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包？

通過 Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段，稱為數(shù)據(jù)包。想象一下，某人想在 Twitter 上發(fā)表一個深入的觀點或講一個長篇故事，不得不將其文本分割成 280 個字符的片段，并以一系列推文的形式發(fā)布，而不是一次性發(fā)布全部。對于那些不使用 Twitter 的人，可以想一下沒有專用短信應(yīng)用的手機如何將長短信文本分成幾個較小的部分。

傳輸控制協(xié)議（TCP）是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標頭來告訴接收方有多少個數(shù)據(jù)包以及它們應(yīng)以什么順序到達。標頭還可以指示數(shù)據(jù)包的長度和類型等信息。

這有點像給文件夾取名，讓人們知道其中的內(nèi)容?；氐?Twitter 的例子，發(fā)布大量推文的人通常會指明該系列中有多少條推文，以及每條推文的編號以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包？

ACK 表示“確認”。ACK 數(shù)據(jù)包是確認接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標頭中設(shè)置了“ACK”標志的 TCP 數(shù)據(jù)包。

ACK 數(shù)據(jù)包隸屬于 TCP 握手，后者是三個連續(xù)的步驟，用于在 Internet 上任何兩個連接的設(shè)備之間啟動對話（就像現(xiàn)實生活中人們在開始交談之前通過握手來問候一樣）。TCP 握手的三個步驟是：

1. SYN
2. SYN ACK
3. ACK

打開連接的設(shè)備（比如，用戶的筆記本電腦）通過發(fā)送 SYN（“同步”的縮寫）數(shù)據(jù)包來啟動三向握手。位于連接另一端的設(shè)備（假設(shè)是托管在線購物網(wǎng)站的服務(wù)器）以 SYN ACK 數(shù)據(jù)包答復(fù)。最后，用戶的筆記本電腦發(fā)送一個 ACK 數(shù)據(jù)包，此時三向握手宣告完成。此過程可確保兩個設(shè)備都已聯(lián)機并且準備好接收其他數(shù)據(jù)包，本例中為允許用戶加載網(wǎng)站。

但是，這并非使用 ACK 數(shù)據(jù)包的唯一時間。TCP 協(xié)議要求連接的設(shè)備確認它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問一個托管圖片的網(wǎng)頁。圖片分解為數(shù)據(jù)包，并發(fā)送到用戶的瀏覽器。整個圖片到達后，用戶設(shè)備就會向主機服務(wù)器發(fā)送一個 ACK 數(shù)據(jù)包，以確認一個像素也沒丟失。如果沒有此 ACK 數(shù)據(jù)包，主機服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標頭中設(shè)置了 ACK 標志的任何 TCP 數(shù)據(jù)包，因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫表單并將數(shù)據(jù)提交給服務(wù)器，則筆記本電腦可以將其中一個數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨的數(shù)據(jù)包。

ACK 洪水攻擊如何工作？

ACK 洪水以需要處理收到的每個數(shù)據(jù)包的設(shè)備為目標。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標。負載均衡器、路由器和交換機不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來基本相同，因此，如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 過濾掉不必要的 ACK 數(shù)據(jù)包，就很難阻止 ACK 洪水。盡管看起來很相似，但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分，也稱為有效負載。為了顯得合法，它們僅需在 TCP 標頭中包含 ACK 標志。

ACK 洪水是第 4 層（傳輸層）DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作？

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同，但基本思路仍然相同：用過多的數(shù)據(jù)包來壓垮目標。

記住 TCP 三向握手的工作方式：握手的第二步是 SYN ACK 數(shù)據(jù)包。通常，服務(wù)器在響應(yīng)來自客戶端設(shè)備的 SYN 數(shù)據(jù)包時發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中，攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分，它們的唯一目的是打斷目標的正常運作。

攻擊者也有可能在 SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊？

目前防御ACK的最好方法是高防CDN ，高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會傳遞與開放 TCP 連接無關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會到達源站服務(wù)器。由數(shù)據(jù)中心組成的 CDN 網(wǎng)絡(luò)的規(guī)模足夠大，足以吸收幾乎任何規(guī)模的 DDoS 攻擊，因此 ACK 洪水對 高防CDN 幾乎沒有影響。