广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

internet上dos攻击暴虐一时，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。dos全称是denial of service，中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。
　　天网防火墙系统针对各种dos攻击做出了防御措施。在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住sync flood, igmp nuke, win nuke等dos类型攻击。目前国内同类产品尚无同样功能。
　　天网防火墙系统采用经过优化的tcp连接监控工作方式。该方式在处理tcp连接请求的时候，在确定连接请求是否合法以前，用户端z与服务端a是隔断的。其工作流程如下图所示:
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

防火墙接到来自用户端z的syn连接请求；
　　防火墙返回一个经过特殊处理的syn/ack至客户端z以验证连接的合法性；
　　这时，根据连接请求是否合法，可能有以下两种情况发生:
　　a．防火墙接收到来自客户端z的ack回应，该连接请求合法。转至第4步继续；
　　b．防火墙没有接收到来自客户端z的ack回应，该连接请求非法，不进行处理；
防火墙在本地建立面向该连接的监控表项，并发送与该连接请求相关联的syn至服务端a；
　　防火墙接到来自服务端a的syn/ack回应；
　　防火墙返回ack以建立一个完整的tcp连接；
　　防火墙发送ack至客户端z，提示可以开始tcp传输过程。
　　其中，在第2/3/4/7步过程中，防火墙内部进行了如下操作:
　　在第2步中，为了验证连接的合法性，防火墙返回的syn/ack是经过特殊处理的，并提示客户端z暂时不要传送有效数据；
　　在第3步中，防火墙接收到来自客户端z的ack，检验其合法性。
　　在第4步中，防火墙在本地建立面向该连接的监控表项，同时发送与该连接相关的syn至服务端a；
　　在第7步中，防火墙通过将tcp数据传输与监控表项进行比对，并调整序列号和窗口以使之匹配。开始tcp数据传输。
　　在这里，天网防火墙通过高效的算法（64k位的hash）提供了超过30万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。

（）