屏蔽了国外的百分之八十IP请求后，星空官网的速度一下子上来了，服务器CPU使用率也降回到了低点。

机房里所有人都松了一口气，但沈斌却依旧是一副凝重的表情。屏蔽IP固然是可以抵一时风雨，但绝不是长久之计。对方这时主要用的是国外的肉鸡，但万一他将国内的肉鸡运用起来呢，难道再将国内的IP也屏蔽掉？

那还不如直接将网站关闭！

DDoS攻击啊，真是令人伤脑筋的东西。

叶筱妖见服务器恢复了正常，机房里总算不似刚才那般紧张了，她便扯了扯沈斌的衣服，小声问道：“DDoS攻击到底是怎么回事啊？”

叶筱妖估计是整个公司里的另类，也是唯一一个对电脑知识比较匮乏的人。她虽然也听说过DDoS的大名，却始终不甚了解。只当它是一种攻击手段，遇到DDoS了，赶紧跑就是了。现在自己加入了公司，也就是公司的一员，从前那种“敌来我逃”的策略已经不管用了。

所以她也就变得虚心好学起来。

对于叶筱妖的转变，沈斌还是很欣慰的，至少这位大小姐终于开悟了，懂得学习新鲜知识了。这说明她真正将自己当作公司的一员，而不是那种玩票、求新鲜的性质。

他说道：“DDoS攻击是洪水攻击的一种，攻击发生时会产生大量的数据，就好似洪水泛滥一样。具体来说，它是网络泛洪中的一种，发生在OSI模型的第三层和第四层。”

见叶筱妖好像有些听不明白的样子，他就细致道：“洪水攻击的原理其实是利用了TCP协议的三次握手行为。”

“假设有两台机器A和B。A使用TCP协议连接B，在建立连接之前，A先发一个ICMP报文，也就是一个数据包给B，表示：‘我想与你联系’，这是第一次握手；B在接收到这个数据包后，利用ICMP报文中的源地址，也就是A的IP，也给A回了一个ICMP报文，说：‘真的吗？’这是第二次握手；A接到B的ICMP报文后，又给B发了一个ICMP报文，‘当然是真的。’这是第三次握手。B如果成功接到这个报文后，双方沟通完毕，B就正式和A建立TCP连接。”

而洪水攻击，问题就出在第二次握手上。

如果是A的请求ICMP发过去，那么请求里的源地址应该是A的IP地址。但如果是一个非法的ICMP报文的话，ICMP的源地址可能并不是A的IP，也许就是一个并不存在的IP。如果是这样，那在第二次握手时，B也就无法找到A了，这当然就不可能发生第三次握手。

这样，B找不到A，而A又迟迟得不到B的回信，这样TCP就无法连接。但攻击者的目的并不是要建立TCP连接，而是要耗尽B的资源。由于B找不到A，B也就无法得到A的回信，这种情况一旦发生，B并不会将在第一次握手中建立的资源马上释放，而会有一个超时，假设这个时间是10秒。如果A在这10秒内向B发送了10000个这样的连接数据包，就意味着B要维护这10000个连接资源。

只有过了10秒，B确认这些连接资源是不合理的，才会释放掉这些资源。当然，如果是恶意攻击的话，那么A在下一个10秒还会发10000个连接包。

A不断地发这样数据包，就意味着B将永远要维护这10000个连接，因此，B的CPU和内存将被耗尽，至少也得被占用大部分。所以B就无法响应其它机器的请求，或者是响应迟缓。

“这就好比是一个流氓给一个正经人寄了封信，让他到马上到某个地方见面，发完就闪了，也不去约定的地方，而那个正经人却傻乎乎真在那里等着流氓。等了一天了，不见流氓来，正经人就回家了。可第二天又收到流氓的信，于是又去等了。”

“一连几天下来，正经人累坏了，自己的正常工作也因为去等流氓的缘故而没有顾及上。”

“那不是太混蛋了吗？”叶筱妖漂亮的眼睛瞪大了，原来洪水攻击是这么回事，她总算有些明白了。

“小助手，有没有办法彻底解决洪水攻击？”

有一句话说得好，有问题，找小汐，现在小汐不在了，找小助手也行。沈斌想了很久都没有想出一个完美的解决方案来，于是就只要求助小助手。

“方法是有的。传承空间里有完整的教程，不过这本来应该是宿主自己学习的内容。”

小助手语气平淡。

沈斌眼睛一瞪，不悦道：“现在都什么时候了还自己学习，非常时期就应该用非常手段，小助手你直接告诉我应该怎么办。”

小助手沉默了会，说道：“根据宿主所在文明的具体情况，系统推荐：采用分布式防御机制。”

“具体的呢？”沈斌问。

“主要有两种防御。”小助手的声音依旧跟从前一样缺乏感情，不过沈斌现在却觉得如听仙乐一般，居然有两种防御方法。

“说说看！”他期待地道。

“第一种，可以建立节点信任机制。通过对节点进行计算，根据计算的结果，得出每个网络节点的信誉值，从而生成信任表与不信任表。具体方法是，每一次数据交换时，首先对消息包的来源节点进行信誉判断，不信任的直接阻断，信任的放行，进入下一层检测。采用不信任节点黑名单而非信任节点白名单模式。”

沈斌听着觉得有道理，就点点头道：“那下一步呢？”

“下一步就是第二种防御策略，节点流量实时检测过滤策略。”

“由于一些洪水消息包与正常消息包没有本质的区别，所以可以对消息包来源节点和TTL进行组合判断，建立起节点流量实时检测过滤策略。当节点接收消息时，可以先不对消息进行转发，而是先进行流量统计识别。当它在一段时间里收到的某一邻居节点消息超过预先设定值的时候，则判定消息来源于同一TTL半径。若同时这一源节点持续发送消息数量达到事先设定的服务器资源的一个值，比如说0％时，就判定它具备DDoS攻击特征，为DDoS攻击包。即对该消息进行丢包策略处理。”

小助手不紧不慢地道。

沈斌一听，眼睛立刻亮了起来。

所谓的丢包策略，就是说如果在一个时间段内判定这个节点有攻击特征，则对消息包进行减半转发。一般一个节点每分钟产生的消息查询数不会超过40，进行一次判定后，减半，就是说下次这个节点只允许发送0个消息包给服务器。

如果还是发现有攻击特征，则在原基础上继续减半，一直到这个节点只允许发送一个消息包为止。同时将该节点填入不信任名单，若这个节点攻击特征减缓或者恢复正常，则每次增加一个消息包的配额，直至恢复正常。

小助手给出的防御策略实在是非常不错，沈斌从前似乎也在计算机理论刊物上见到过这方面的论述。只是没有小助手给的这么具体。

看来小助手真的是从自己周围的环境出发，没有太过逾越的给出超越现有科技的技术。

方案是有了，接下来就是要具体的实施。

这不，沈斌又遇到麻烦了。

这该怎么实施啊？

编写一个小工具附加到硬件防火墙上？

沈斌一想，似乎可行的样子。（未完待续）