ACK 洪水攻擊是指攻擊者試圖用 TCP ACK 數(shù)據(jù)包使服務(wù)器過(guò)載。像其他 DDoS 攻擊一樣，ACK 洪水的目的是通過(guò)使用垃圾數(shù)據(jù)來(lái)減慢攻擊目標(biāo)的速度或使其崩潰，從而導(dǎo)致拒絕向其他用戶提供服務(wù)。目標(biāo)服務(wù)器被迫處理接收到的每個(gè) ACK 數(shù)據(jù)包，消耗太多計(jì)算能力，以致無(wú)法為合法用戶提供服務(wù)。

想象一下，一個(gè)惡作劇呼叫者用虛假消息填充某人的語(yǔ)音信箱，使真實(shí)呼叫者的語(yǔ)音留言無(wú)法進(jìn)入?，F(xiàn)在假設(shè)，這些虛假消息全部說(shuō)的是：“嗨，我打電話來(lái)是跟你說(shuō)我已收到你的信息?！边@有點(diǎn)像在 ACK 洪水 DDoS 攻擊中發(fā)生的情況。

什么是數(shù)據(jù)包？

通過(guò) Internet 發(fā)送的所有數(shù)據(jù)都分割為較小的片段，稱為數(shù)據(jù)包。想象一下，某人想在 Twitter 上發(fā)表一個(gè)深入的觀點(diǎn)或講一個(gè)長(zhǎng)篇故事，不得不將其文本分割成 280 個(gè)字符的片段，并以一系列推文的形式發(fā)布，而不是一次性發(fā)布全部。對(duì)于那些不使用 Twitter 的人，可以想一下沒(méi)有專用短信應(yīng)用的手機(jī)如何將長(zhǎng)短信文本分成幾個(gè)較小的部分。

傳輸控制協(xié)議（TCP）是 Internet 通信的重要組成部分。使用 TCP 協(xié)議發(fā)送的數(shù)據(jù)包在其標(biāo)頭中包含附加的信息。TCP 協(xié)議使用數(shù)據(jù)包標(biāo)頭來(lái)告訴接收方有多少個(gè)數(shù)據(jù)包以及它們應(yīng)以什么順序到達(dá)。標(biāo)頭還可以指示數(shù)據(jù)包的長(zhǎng)度和類型等信息。

這有點(diǎn)像給文件夾取名，讓人們知道其中的內(nèi)容。回到 Twitter 的例子，發(fā)布大量推文的人通常會(huì)指明該系列中有多少條推文，以及每條推文的編號(hào)以幫助讀者閱讀它們。

什么是 ACK 數(shù)據(jù)包？

ACK 表示“確認(rèn)”。ACK 數(shù)據(jù)包是確認(rèn)接收到一條消息或一系列數(shù)據(jù)包的任何 TCP 數(shù)據(jù)包。ACK 數(shù)據(jù)包的技術(shù)定義是標(biāo)頭中設(shè)置了“ACK”標(biāo)志的 TCP 數(shù)據(jù)包。

ACK 數(shù)據(jù)包隸屬于 TCP 握手，后者是三個(gè)連續(xù)的步驟，用于在 Internet 上任何兩個(gè)連接的設(shè)備之間啟動(dòng)對(duì)話（就像現(xiàn)實(shí)生活中人們?cè)陂_(kāi)始交談之前通過(guò)握手來(lái)問(wèn)候一樣）。TCP 握手的三個(gè)步驟是：

1. SYN
2. SYN ACK
3. ACK

打開(kāi)連接的設(shè)備（比如，用戶的筆記本電腦）通過(guò)發(fā)送 SYN（“同步”的縮寫(xiě)）數(shù)據(jù)包來(lái)啟動(dòng)三向握手。位于連接另一端的設(shè)備（假設(shè)是托管在線購(gòu)物網(wǎng)站的服務(wù)器）以 SYN ACK 數(shù)據(jù)包答復(fù)。最后，用戶的筆記本電腦發(fā)送一個(gè) ACK 數(shù)據(jù)包，此時(shí)三向握手宣告完成。此過(guò)程可確保兩個(gè)設(shè)備都已聯(lián)機(jī)并且準(zhǔn)備好接收其他數(shù)據(jù)包，本例中為允許用戶加載網(wǎng)站。

但是，這并非使用 ACK 數(shù)據(jù)包的唯一時(shí)間。TCP 協(xié)議要求連接的設(shè)備確認(rèn)它們已按順序接收了所有數(shù)據(jù)包。假設(shè)用戶訪問(wèn)一個(gè)托管圖片的網(wǎng)頁(yè)。圖片分解為數(shù)據(jù)包，并發(fā)送到用戶的瀏覽器。整個(gè)圖片到達(dá)后，用戶設(shè)備就會(huì)向主機(jī)服務(wù)器發(fā)送一個(gè) ACK 數(shù)據(jù)包，以確認(rèn)一個(gè)像素也沒(méi)丟失。如果沒(méi)有此 ACK 數(shù)據(jù)包，主機(jī)服務(wù)器必須再次發(fā)送圖片。

由于 ACK 數(shù)據(jù)包是在標(biāo)頭中設(shè)置了 ACK 標(biāo)志的任何 TCP 數(shù)據(jù)包，因此 ACK 可以是筆記本電腦發(fā)送到服務(wù)器的其他消息的一部分。如果用戶填寫(xiě)表單并將數(shù)據(jù)提交給服務(wù)器，則筆記本電腦可以將其中一個(gè)數(shù)據(jù)包作為圖片的 ACK 數(shù)據(jù)包。它不需要是單獨(dú)的數(shù)據(jù)包。

ACK 洪水攻擊如何工作？

ACK 洪水以需要處理收到的每個(gè)數(shù)據(jù)包的設(shè)備為目標(biāo)。防火墻和服務(wù)器最有可能成為 ACK 攻擊的目標(biāo)。負(fù)載均衡器、路由器和交換機(jī)不容易遭受這些攻擊。

合法和非法 ACK 數(shù)據(jù)包看起來(lái)基本相同，因此，如果不使用內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 過(guò)濾掉不必要的 ACK 數(shù)據(jù)包，就很難阻止 ACK 洪水。盡管看起來(lái)很相似，但用于 ACK DDoS 攻擊的數(shù)據(jù)包并不包含數(shù)據(jù)本身數(shù)據(jù)包的主要部分，也稱為有效負(fù)載。為了顯得合法，它們僅需在 TCP 標(biāo)頭中包含 ACK 標(biāo)志。

ACK 洪水是第 4 層（傳輸層）DDoS 攻擊。了解第 4 層和 OSI 模型。

SYN ACK 洪水攻擊如何工作？

SYN ACK 洪水 DDoS 攻擊與 ACK 攻擊略有不同，但基本思路仍然相同：用過(guò)多的數(shù)據(jù)包來(lái)壓垮目標(biāo)。

記住 TCP 三向握手的工作方式：握手的第二步是 SYN ACK 數(shù)據(jù)包。通常，服務(wù)器在響應(yīng)來(lái)自客戶端設(shè)備的 SYN 數(shù)據(jù)包時(shí)發(fā)送此 SYN ACK 數(shù)據(jù)包。在 SYN ACK DDoS 攻擊中，攻擊者使大量 SYN ACK 數(shù)據(jù)包涌向目標(biāo)。這些數(shù)據(jù)包根本不屬于三向握手協(xié)議的一部分，它們的唯一目的是打斷目標(biāo)的正常運(yùn)作。

攻擊者也有可能在 SYN 洪水 DDoS 攻擊中使用 SYN 數(shù)據(jù)包。

如何阻止 ACK 洪水 DDoS 攻擊？

目前防御ACK的最好方法是高防CDN ，高防CDN代理往返于 Cloudflare 客戶的源站服務(wù)器的所有流量。CDN 不會(huì)傳遞與開(kāi)放 TCP 連接無(wú)關(guān)的任何 ACK 數(shù)據(jù)包。這樣可以確保惡意 ACK 流量不會(huì)到達(dá)源站服務(wù)器。由數(shù)據(jù)中心組成的 CDN 網(wǎng)絡(luò)的規(guī)模足夠大，足以吸收幾乎任何規(guī)模的 DDoS 攻擊，因此 ACK 洪水對(duì) 高防CDN 幾乎沒(méi)有影響。