什么是ACK攻击？如何防御ACK攻击

一.什么是数据包

数据包指的是在计算机网络中传输的基本单位。它是一个从源设备到目标设备的数据块，其中包括了数据和一些控制信息，如起始位、终止位、检验和等，以及源IP地址和目标IP地址等网络协议相关信息。数据包通常由应用层的数据、传输层的头部、网络层的头部和数据链路层的头部组成。在互联网上，数据包被分割成小块进行传输，每个块称为分组，同一个数据包中的分组可以通过不同的路径进行传输，最终在目标设备重新组装成原始的数据包。

二.什么是ACK数据包

ACK是"ACKnowledge character（确认字符）"的缩写，指的是接收方向发送方确认已经正确接收到数据的信号。ACK数据包也被称为确认数据包，它是TCP/IP协议中常用的一种数据包类型。

在TCP协议中，当发送方发送数据给接收方时，接收方会回传一个ACK数据包来确认成功收到数据。如果发送方在规定时间内没有收到ACK数据包，就会认为数据发送失败，从而触发重传机制。ACK数据包通常不包含数据，而只包含一个序号，在TCP连接中使用ACK数据包进行数据可靠性检测及确认，保证数据在网络中的准确性和完整性。

ACK 洪水攻击是指攻击者试图用 TCP ACK 数据包使服务器过载。像其他DDos攻击一样，ACK 洪水的目的是通过使用垃圾数据来减慢攻击目标的速度或使其崩溃，从而导致拒绝向其他用户提供服务。目标服务器被迫处理接收到的每个 ACK 数据包，消耗太多计算能力，以致无法为合法用户提供服务。

TCP 握手
ACK 数据包隶属于 TCP 握手，后者是三个连续的步骤，用于在 Internet 上任何两个连接的设备之间启动对话（就像现实生活中人们在开始交谈之前通过握手来问候一样）。TCP 握手的三个步骤是：

SYN（同步）
SYN/ACK
ACK（确认）
打开连接的设备（比如，用户的笔记本电脑）通过发送 SYN（“同步”的缩写）数据包来启动三向握手。位于连接另一端的设备（假设是托管在线购物网站的服务器）以 SYN ACK 数据包答复。最后，用户的笔记本电脑发送一个 ACK 数据包，此时三向握手宣告完成。此过程可确保两个设备都已联机并且准备好接收其他数据包，本例中为允许用户加载网站。

但是，这并非使用 ACK 数据包的唯一时间。TCP 协议要求连接的设备确认它们已按顺序接收了所有数据包。假设用户访问一个托管图片的网页。图片分解为数据包，并发送到用户的浏览器。整个图片到达后，用户设备就会向主机服务器发送一个 ACK 数据包，以确认一个像素也没丢失。如果没有此 ACK 数据包，主机服务器必须再次发送图片。

由于 ACK 数据包是在标头中设置了 ACK 标志的任何 TCP 数据包，因此 ACK 可以是笔记本电脑发送到服务器的其他消息的一部分。如果用户填写表单并将数据提交给服务器，则笔记本电脑可以将其中一个数据包作为图片的 ACK 数据包。它不需要是单独的数据包。

三.ACK 洪水攻击如何工作

ACK 洪水以需要处理收到的每个数据包的设备为目标。防火墙和服务器最有可能成为 ACK 攻击的目标。负载均衡器、路由器和交换机不容易遭受这些攻击。

合法和非法 ACK 数据包看起来基本相同，因此，如果不使用内容分发网络 (CDN) 过滤掉不必要的 ACK 数据包，就很难阻止 ACK 洪水。尽管看起来很相似，但用于 ACK DDoS 攻击的数据包并不包含数据本身数据包的主要部分，也称为有效负载。为了显得合法，它们仅需在 TCP 标头中包含 ACK 标志。

ACK 洪水是第 4 层（传输层）DDoS 攻击。了解第 4 层和 OSI 模型。

四.SYN ACK 洪水攻击如何工作

SYN ACK 洪水 DDoS 攻击与 ACK 攻击略有不同，但基本思路仍然相同：用过多的数据包来压垮目标。

记住 TCP 三向握手的工作方式：握手的第二步是 SYN ACK 数据包。通常，服务器在响应来自客户端设备的 SYN 数据包时发送此 SYN ACK 数据包。在 SYN ACK DDoS 攻击中，攻击者使大量 SYN ACK 数据包涌向目标。这些数据包根本不属于三向握手协议的一部分，它们的唯一目的是打断目标的正常运作。

攻击者也有可能在 SYN 洪水 DDoS 攻击中使用 SYN 数据包。

五.使用高防产品

1.高防服务器

德迅云安全部署的T级别数据中心，具备完善的机房设施，核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送：自主化管理平台、德迅卫士（主机安全防火墙）、WEB云防护（一站式网站安全加速）、1V1专家技术支撑，竭诚为您提供安全、可靠、稳定、高效的服务体验。

DDoS清洗：近源清洗多种流量清洗部署方案，无损防御各种DDoS攻击

CC攻击防御：5s发现恶意请求，10s快速阻断攻击，事前拦截、事后溯源、全方位防黑

WEB应用防火墙：防SQL注入、XSS跨站，后门隔离保护、WEB SHELL上传、非法HTTP协议请求。

德迅卫士：系统层安全软件，为用户远程桌面扫描登陆、手机短信验证登陆等。一键后台优化服务器权限、威胁组件、威胁端口。

2.使用安全加速SCDN

安全加速（Secure Content Delivery Network，SCDN）是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，购买服务后可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。

Web攻击防护：OWASP TOP 10威胁防护，AI检测和行为分析，智能语义解析引擎

应用层DDoS防护：CC、HTTP Flood攻击防御，慢连接攻击防御

合规性保障：自定义防护规则，访问日志审计，网页防篡改，数据防泄漏

HTTP流量管理：支持HTTP流量管理，请求头管理

安全可视化：四大安全分析报表，全量日志处理，

随着DDOS攻击方式的不断变化，ACK Flood攻击成为黑客们重点攻击的目标之一。网络管理员应该及时关注网络安全动态，采取有效的防御措施，确保网络的安全可靠性。企业也应当采取SCDN服务和高防服务器，保障自己的业务正常有序进行，抵御DDOS攻击带来的巨大损失。