SockStress CC攻击正好与Syn-Flood攻击原理相反，它正是利用建立TCP/IP三次握手连

接来实现拒绝服务CC攻击，而且与Syn-Flood不同的是，不是耗尽服务器的TCP连接数来让正常

用户的正常请求无法响应，而是直接耗尽 Windows Linux服务器的内存、CPU等资源让网站服务

器宕机，属于CC资源消耗攻击，这种攻击方式的危害性非常大，而且一旦遭受分布式的CC攻击，

网站以及服务器都会直接瘫痪，给网站运营造成巨大的经济损失。Sine安全公司是一家专注于：

服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服

务提供商。

 

 

SOCKSTRESS的CC攻击原理

 

 

1.当服务器端维持连接达到一定数量之后，内存、CPU甚至是SWAP分区都会被耗尽，系统命令

 

不能正常执行，想要恢复服务器的唯一的办法就是断网，并重启服务器。
 

 

2.成功建立ESTABLISHED之后，攻击者会将数据包中window的值置为0（windows的意思代表

 

client这边一次可以接受的数据大小，置为0之后表示client没有windows来接受服务器端发

 

来的数据，然后服务器就会分配内存来维持TCP连接直到client有空闲的windows与之通信）

 

，然而攻击者可不会维持什么连接，他只会不断的请求TCP连接耗尽服务器的资源。
 

 

3.首先，攻击者大量请求建立三次握手连接

 

下面是流量攻击者向服务器发送的一个ACK包，window被置为了0了

 

 

流量攻击防护解决办法

 

对于SOCKSTRESS这种CC攻击方式我们可以设置防火墙规则，限制服务器在一定时间内与同一

 

个IP建立TCP连接的数量，这样即使有大量的连接发过来也不会对服务器有太大的影响，但是

 

这仅限于DoS，如果是DDoS流量攻击的话那么就只有升级服务器的性能了。Sine安全公司是一

 

家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一

 

体的网络安全服务提供商。

 

iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set && 

 

iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent  --update --

 

seconds 30 --hitcount 10 -j DROP

 

理解攻击原理才是防御流量攻击最好的方法。用黑客思维构建安全防线，知己知彼百战不殆。