何培源

摘要：文章對現(xiàn)今電子商務網(wǎng)站所面臨的最具威脅性的攻擊——分布式拒絕服務（DDoS）攻擊的攻擊機理作了較為詳細的分析，并分析了針對DDoS攻擊的不同攻擊子類的特點及采取的應對防范措施，從而降低被攻擊方受攻擊后的損害程度。最后揭示了想要將DDoS攻擊發(fā)生的可能性降到最低的一切防范措施的根本特性——社會性。

關(guān)鍵詞：電子商務；DDoS攻擊；網(wǎng)絡安全；入侵檢測；入侵防御

中圖分類號：TP391文獻標識碼：A文章編號：1002-3100(2009)01-0034-06

Abstract: This article analyses the mechanism and architectures of the most threatening attack to the electronic websites nowadays, which is DDoS（Distributed Deny of Service）attack. The article further describes the different features of its subcategories and the different measures to keep web sites from being seriously damaged after having been attacked. Moreover, besides the technical issues, the social and management issues are also referred, and these issues may be the vital measures to entirely eliminate possibilities from being damaged by the DDoS attack.

Key words: E-commerce; DDoS attack; network security; intrusion detection; intrusion defensive

0引言

社會信息化進程的發(fā)展，電子商務、電子政務等信息化工程的日益完善一直跟隨著網(wǎng)絡技術(shù)的發(fā)展而發(fā)展，然而從安全的角度來看，隨著網(wǎng)絡的逐步完善，電子商務網(wǎng)絡所面臨的網(wǎng)絡安全問題卻始終如揮之不去的夢魘。日益突出的安全問題面前，魔道雙方的攻守角逐未曾也永遠不會停止。本文闡述了一種很難被徹底解決的電子商務網(wǎng)站安全問題——可造成網(wǎng)絡延時甚至癱瘓的攻擊DDoS（Distributed Deny of Service——分布式拒絕服務攻擊）產(chǎn)生的機理以及防御的主要方法，并探討更有效的網(wǎng)絡安全維護策略和機制。

1來自DDoS攻擊的威脅

DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上發(fā)展而來的一種攻擊方式。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應，DoS（Deny of Service——拒絕服務） 因此得名。

單一的DoS攻擊一般采用一對一的方式，當被攻擊目標各項性能指標較低，如：低CPU速度、小內(nèi)存或者網(wǎng)絡帶寬有限時，攻擊效果是明顯的。但隨著硬件與網(wǎng)絡技術(shù)的發(fā)展，硬件價格暴跌的情況下，計算機的內(nèi)存增加，處理器能力大大提高，千兆級別的網(wǎng)絡的出現(xiàn)，使得DoS攻擊的難度增加不少，因為性能的增強使得目標機對惡意攻擊包的化解能力也隨之增強。此時分布式的拒絕服務攻擊（DDoS）也隨之應運而生。DDoS原理很簡單，就是利用網(wǎng)絡掌控并集結(jié)盡量多的傀儡機來攻擊目標機以期達到比單機大得多殺傷力。但其危害卻極大且難以防御。

2008年4月7日18點左右到4月8日21點15分，一家國內(nèi)網(wǎng)民自發(fā)建立的揭露西方媒體不客觀報道的非政府網(wǎng)站、揭示不實報道事件真相的交流平臺，反CNN網(wǎng)站（www.anti-cnn.com），遭DDoS攻擊，導致攻擊期間超過27個小時網(wǎng)民無法登錄反CNN網(wǎng)站頁面的情況。

自從1999年第一次有報道的大規(guī)模DDoS攻擊在美國明尼蘇達大學出現(xiàn)以來，相當多的電子商務網(wǎng)站已經(jīng)遭受到其暗算并且損失慘重。2000年，雅虎、CNN等一批大型商業(yè)網(wǎng)站被DDoS攻陷并停止正常運營。有研究表明，在2001年2月中的3周時間內(nèi)，DDoS有效攻擊達12 000次并侵害了5 000多臺主機。DDoS造成的數(shù)據(jù)流堵塞迫使路由器丟棄所有用戶的請求。更嚴重的基于DNS的DDoS攻擊發(fā)生在2006年，但是這是一種新型的攻擊方式，攻擊者并不直接攻擊DNS服務器而是利用其作為跳板進而發(fā)動更大規(guī)模的攻擊，由于DNS協(xié)議的復雜性和各DNS服務器之間的聯(lián)系，這種攻擊更難以化解。兩個月之內(nèi)，曾有1 500多個IP地址被這種方式攻擊過。

在自第一次的DDoS攻擊出現(xiàn)之后，各種偵測和應對的技術(shù)沒有一種能夠給受害者以真正的保護。原因之一是很難將DDoS攻擊的數(shù)據(jù)流量和正常的數(shù)據(jù)流量區(qū)分開；原因之二是在分布式的網(wǎng)絡結(jié)構(gòu)中，DDoS攻擊利用IP欺騙等手段很容易隱藏且不易被追溯，因此不能被有效的阻止。

1.1DDoS攻擊原理和其分類

分布式拒絕服務（DDoS）類攻擊通過聚集分布在網(wǎng)絡上的力量，形成毀滅性的流量攻擊。道高一尺，魔高一丈。隨著用戶系統(tǒng)的安全性能的不斷增強，黑客不得不從普通的DoS攻擊轉(zhuǎn)向分布式攻擊形式。圖1顯示了“魔”“道”之間的爭斗歷史發(fā)展。

1.2DDoS攻擊的分布合作架構(gòu)

圖2描述了一個典型的DDoS攻擊結(jié)構(gòu)，分為4個部分：黑客機、受控傀儡機、攻擊傀儡機和受害目標機。整個結(jié)構(gòu)中最主要的是第2、第3部分。攻擊者先黑入幾臺受控傀儡機的系統(tǒng)取得控制權(quán)。接著，受控傀儡機再次通過一些自動入侵軟件接管更多的攻擊傀儡機。對第4部分的受害目標機來說，DDoS的攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的受控傀儡機只控制攻擊傀儡機而不參與實際的攻擊。對第2和第3部分計算機，黑客有全部或部分控制權(quán)，黑客會修改此類機器上的日志和預留后門等方法隱藏自己的蹤跡。通過上傳到這些受控和攻擊傀儡機上的DDoS程序，一旦黑客進行控制并向所有的攻擊傀儡機發(fā)出攻擊指令的時候，攻擊傀儡機就對目標受害者發(fā)送大量垃圾流量，有效擁堵住入口并阻斷合法用戶訪問。因為傀儡機發(fā)出的數(shù)據(jù)包的包頭中所含有的源地址是偽造的（IP 欺騙——IP Spoofing），所以這種結(jié)構(gòu)非常難以追溯。目標受害機往往是一些知名的電子商務網(wǎng)站服務器等。

實際上，為了增加攻擊的有效性，黑客會做好如下功課：

（1）了解被攻擊目標主機數(shù)目、IP地址、配置、性能情況、目標的網(wǎng)絡帶寬；

（2）在受控傀儡機上預留后門和清理日志；

（3）盡量多地使用攻擊傀儡機；

（4）使用盡量有效地DDoS攻擊工具。DDoS攻擊工具的源代碼在互聯(lián)網(wǎng)上都是公開的并且新的版本不斷地在更新。新的“增強”版本在隱藏攻擊流量以及加密手段方面更加復雜，使得防御來得更加困難。

在有線網(wǎng)絡中，三種隱患可導致DDoS攻擊，分別為：不安全的互聯(lián)網(wǎng)絡，缺乏垃圾流量管理手段和IP欺騙。

1.3DDoS攻擊種類

為了增強攻擊力度提高攻擊效果并且很好地隱藏攻擊者使其不被暴露，DDoS通常具有兩種主要攻擊方式：數(shù)據(jù)包洪流（Flood）攻擊和反彈（reflector）DDoS攻擊。為了達到最佳的攻擊效果，這兩種攻擊頻繁地被同時利用。

1.3.1數(shù)據(jù)包洪流攻擊

第一種攻擊稱為請求數(shù)據(jù)包攻擊或者直接攻擊，圖2所示的DDoS攻擊結(jié)構(gòu)即為直接攻擊（Direct Attack），攻擊者通過黑入幾臺受控傀儡機的系統(tǒng)取得控制權(quán)然后通過它們向受害目標機發(fā)送巨量數(shù)據(jù)包，通過使用隨機產(chǎn)生的IP地址替換掉自身或傀儡機中數(shù)據(jù)包頭部的真實源地址隱藏自身位置。現(xiàn)今很多各種類型的DDoS工具都屬于此類，最具有代表性的攻擊稱為基于數(shù)據(jù)洪流式的（SYN Flooding Based）攻擊結(jié)構(gòu)的攻擊，即利用TCP/IP協(xié)議自身固有的弱點——三次握手，通過巨量貌似正常的鏈接數(shù)據(jù)來堵塞受害目標的網(wǎng)絡帶寬，從而造成合法的用戶數(shù)據(jù)包因帶寬資源枯竭而無法正常到達受害主機服務器。

SYN Flood攻擊原理。經(jīng)過長期篩選，在攻擊的有效性方面較高的SYN Flood攻擊是當前黑客使用得最多的一種攻擊方式，Syn Flood利用了TCP/IP協(xié)議的固有特點（漏洞）即：面向連接的TCP三次握手。

TCP與UDP不同，它是基于連接的，即為了實現(xiàn)TCP數(shù)據(jù)在服務端和客戶端之間傳送，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標準過程如圖3所示。

第一步，請求端（客戶端）發(fā)送一個包含SYN標志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號。

第二步，服務器在收到客戶端的SYN報文后，將返回一個SYN

+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknow ledgement）。

第三步，客戶端也返回一個確認報文ACK給服務器端，同樣TCP序列號被加一，到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程，一個TCP連接完成。

如圖3中所示的連接過程在TCP協(xié)議中被稱為三次握手（Three-way Handshake）。

被利用的漏洞出現(xiàn)在TCP連接的三次握手中，假設一個用戶向服務器發(fā)送了SYN報文后突然掉線或死機，那么服務器在發(fā)出SYN+ACK應答報文（第二次握手）后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時長稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一般情況下個別用戶出現(xiàn)異常導致服務器的一個線程等待1分鐘并不是什么大問題，但如果有惡意的攻擊者大量模擬這種情況，服務器端將為了維護數(shù)以萬計的半連接列表而會消耗非常多的資源。即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。如果服務器的TCP/IP堆棧不夠強大，最后往往是堆棧溢出崩潰。即便服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇響應客戶的正常請求，此時從正?？蛻舻慕嵌瓤磥恚掌魇ロ憫?，這種情況我們稱作：服務器端受到了SYN Flood攻擊（SYN數(shù)據(jù)包洪流攻擊）。

1.3.2反彈DDoS攻擊

第二種方式因使用到稱為反彈服務器的主機使得追蹤攻擊方的行蹤變得更加困難。所謂反彈服務器即收到請求數(shù)據(jù)包后將會返回數(shù)據(jù)包的主機。比如一臺Web服務器可以被當作反彈服務器，因它在接收到HTTP請求后會返回HTTP響應數(shù)據(jù)包。攻擊者通過向反彈服務器主機發(fā)送請求數(shù)據(jù)包并將源地址的IP偽裝替換成受害機的IP，這樣反彈服務器返回數(shù)據(jù)包將指向受害機，如果反彈服務器的數(shù)量眾多，受害機的網(wǎng)絡將遭到巨量數(shù)據(jù)流的攻擊而堵塞。此類攻擊區(qū)別于數(shù)據(jù)包攻擊或者直接攻擊的主要特點在于受控傀儡機將源地址數(shù)據(jù)包里IP頭部的地址信息修改成為受害機的IP地址，也就是說用受害目標機的IP地址替換掉受控傀儡機或者攻擊者的源地址。實際上，這種攻擊方式下，受害目標機將收到的洪流數(shù)據(jù)包來自不只是幾百個攻擊傀儡機而是上百萬個！太多的來自不同方向的基于反彈的DDoS攻擊降低了追溯到真正攻擊者的可能性，數(shù)量眾多的反彈服務器掩蓋了攻擊者的身影，并且反彈服務器在攻擊其它機器的時候還是可以正常響應合法登錄者的請求。攻擊者不用像侵入傀儡機內(nèi)部一樣去侵入反彈服務器，只需黑入一小部分的受控傀儡機并且搜索出大批的反彈服務器即可達到效果，這樣大大便利了入侵者的攻擊。由于反彈服務器利用大量ACK報文攻擊，受害機不必向反彈服務器返回任何數(shù)據(jù)包。

在一次反彈DDoS攻擊中，任何可以向受害機發(fā)送響應數(shù)據(jù)包的協(xié)議均可被利用。為了制造出更強的攻擊效果，攻擊者甚至利用了數(shù)據(jù)包流量放大技術(shù)，在傀儡機和反彈服務器之間設置流量放大器。流量放大器向所有在網(wǎng)絡廣播地址范圍內(nèi)的每一個反彈服務器廣播請求數(shù)據(jù)包。當前網(wǎng)絡幾乎所有的路由器都支持網(wǎng)絡IP廣播，因此存在大量潛在的流量放大器。這幫助了攻擊者可以不用太多的精力去尋找數(shù)量眾多的反彈服務器而只需用流量放大器加大攻擊流量。圖4是DDoS反彈式攻擊體系結(jié)構(gòu)。

基于ICMP流量的Smurf攻擊。Smurf攻擊是典型使用流量放大器的DDoS攻擊，命名來自于病毒的名稱。在這種攻擊中，ICMP（Internet控制消息協(xié)議，Internet Control Message Protocol）協(xié)議是攻擊的平臺。ICMP協(xié)議用來給IP協(xié)議提供控制服務，允許路由器或目標主機給數(shù)據(jù)的發(fā)送方提供反饋信息。許多網(wǎng)絡攻擊都基于ICMP協(xié)議，ICMP協(xié)議是IP協(xié)議的一部分，任何實現(xiàn)了IP協(xié)議的設備同時也被要求實現(xiàn)ICMP協(xié)議。通常，ICMP請求和ECHO回應可以用作攜帶控制信息，比如：一個網(wǎng)絡的管理系統(tǒng)可以通過ICMP信息獲取路由器的狀況。類似于PING命令，ICMP可以測試網(wǎng)絡的連通性。一個ICMP Echo Request可以包含64K的數(shù)據(jù)，它被發(fā)送后，接收方會返回一個尺寸更大的ICMP Echo Reply數(shù)據(jù)包，其中包含了接收到的數(shù)據(jù)的拷貝。在Smurf攻擊中，ping包中包含的欺騙源地址指向的主機是最終的受害者，也是主要的受害者；而路由器連接的成為了攻擊的幫兇（即流量放大器，使網(wǎng)絡流量迅速增大），也是受害者。如果一個廣播網(wǎng)段中有N個主機，最終受害機就要收到N個Echo Reply回應。大量的ICMP Echo Reply會消耗掉目標受害機所有的帶寬。

1.4IP欺騙

為了隱藏攻擊者或者受控傀儡機，IP欺騙被應用在所有的DDoS攻擊中。傳統(tǒng)方式的DDoS攻擊方式下，攻擊者使用隨機產(chǎn)生的IP地址替換掉自身或傀儡機中數(shù)據(jù)包頭部的真實源地址。反彈式DDoS攻擊方式則必須用受害目標機的IP地址替換掉源地址。

在實際的攻擊案例中，如果攻擊者可以搜尋并控制數(shù)量足夠多的傀儡機時，IP欺騙甚至可以不被使用，攻擊者可以考慮使用其他方法不被追溯到。一般情況下，攻擊者可以控制一長串傀儡機，而想要追溯跨越長達幾個國家的傀儡機鏈是極其困難的。因此，IP欺騙并非攻擊者藏身的唯一手段。

2分布式攻擊（ICMP、SYN Flood、Smurf）的防范

DDoS攻擊往往是一個企業(yè)的IT部門最頭痛的事情，對于防范DoS還相對容易，但是DDoS就很難解決了。目前市面上頂級的如電信級的防火墻，如果不能防止過多的DDoS鏈接，在很短時間能就會崩潰。

受害機的網(wǎng)絡架構(gòu)決定了攻擊者攻擊時需要使用的攻擊流量大小，也決定了網(wǎng)絡更易受到攻擊的可能性。增加受害機網(wǎng)絡的帶寬并且消除網(wǎng)絡帶寬瓶頸可以增加受害機在受攻擊時的忍受程度。大型的服務器集群除了可以通過增大帶寬，還可以加強防火墻處理能力來增大攻擊難度，迫使攻擊者增加進攻的帶寬，但這是一個相互消耗的過程。

另外，應用包過濾的技術(shù)，主要是過濾對外開放的端口，防止假冒地址的攻擊，使得外部機器無法假冒內(nèi)部機器的地址來對內(nèi)部機器發(fā)動攻擊。

2.1ICMP防護措施

ICMP的開發(fā)初衷是作為廣域網(wǎng)管理員的診斷工具。但如今各種各樣的ICMP沒有遵守RFC792原先制訂的標準，所以執(zhí)行一定的策略可以讓它變得安全一些。帶有非法參數(shù)的偽造數(shù)據(jù)包也能產(chǎn)生ICMP參數(shù)問題數(shù)據(jù)包，當ICMP數(shù)據(jù)包參數(shù)非法時，數(shù)據(jù)包會被丟棄，這時就會產(chǎn)生ICMP參數(shù)出錯數(shù)據(jù)包。主機或路由器丟棄發(fā)送的數(shù)據(jù)包，并向發(fā)送者回送參數(shù)ICMP出錯數(shù)據(jù)包，指出壞的參數(shù)。如果發(fā)送源地址的IP被篡改成目標受害機的IP地址，這就可以使得攻擊者利用此特性攻擊目標受害機。以秘密形式從主機到客戶機發(fā)布命令的一種通用方法，就是使用ICMP Echo應答數(shù)據(jù)包作為載體，因為Echo Respond回聲應答本身一般不會被防火墻阻塞。

所以防護措施首先必須在數(shù)據(jù)出入站環(huán)節(jié)限制ICMP。出站的ICMP回聲應被限制只支持個人或單個服務器/ICMP代理。

如果限制ICMP回聲到一個外部IP地址（通過代理），則ICMP回聲應答只能進入網(wǎng)絡中預先定義的主機，通過限制ICMP超時數(shù)據(jù)包進入一個內(nèi)部地址可以阻塞超時數(shù)據(jù)包。對外的傳輸都經(jīng)過代理，對內(nèi)的ICMP傳輸回到代理地址的時候要經(jīng)過防火墻。同時調(diào)整防火墻規(guī)則使得這些類型的ICMP只被允許在需要信息的網(wǎng)際連接所涉及的路由器之間進行。

只允許有公開地址的服務器（比如Web、電子郵件和FTP服務器）、防火墻、聯(lián)入因特網(wǎng)的路由器使用ICMP與外面的世界對話。如果調(diào)整適當，實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。

2.2SYN Flood的防范

對于SYN Flood攻擊雖目前沒有非常有效地監(jiān)測和防御方法，但通過對系統(tǒng)架構(gòu)的設定，能降低被攻擊系統(tǒng)的負荷，減輕負面的影響。通常的防御方法有：

* 縮短SYN Timeout時間

* 設置SYN Cookie

* 負反饋策略

* 分布式DNS負載均衡退讓策略

* 防火墻QoS

2.2.1縮短SYN Timeout時間

SYN Flood攻擊的效果取決于在服務器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度乘以 SYN Timeout時長，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，可以成倍地降低服務器的負荷。

2.2.2設置SYN Cookie

給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。

可是上述的兩種方法只能對付比較原始的SYN Flood攻擊，縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效，SYN Cookie更依賴于對方使用真實的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。

2.2.3負反饋策略

一些流行的操作系統(tǒng)中（如Windows server）本身具有SYN攻擊保護機制：當SYN Half link 的數(shù)量超過系統(tǒng)中TCP活動 Half-Connection最大連接數(shù)的設置，系統(tǒng)將會認為自己受到了SYN Flood攻擊，并將根據(jù)攻擊的判斷情況做出反應：減短SYN Timeout時間、減少SYN-ACK的重試次數(shù)、自動對緩沖區(qū)中的報文進行延時等措施，力圖將攻擊危害減到最低。如果攻擊繼續(xù)，超過了系統(tǒng)允許的最大Half-Connection 值，系統(tǒng)已經(jīng)不能提供正常的服務了，但為了保證不崩潰，系統(tǒng)將超出最大Half Connection值范圍的任何SYN報文丟棄。

所以，可以事先測試該主機在峰值時期的Half Connection的活動數(shù)量上限，作為設定 Half Connection最大連接數(shù)的值，然后再以該值的倍數(shù)（不超過2）作為TCP最大Half Connection值，這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。

2.2.4分布式DNS負載均衡退讓策略

退讓策略是基于SYN Flood攻擊代碼的一個缺陷。SYN Flood程序有兩種攻擊方式，基于IP的和基于域名的。前者是攻擊者自己進行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動進行域名解析，它們的相同之處為一旦攻擊開始，將不會再進行域名解析。假設一臺服務器在遭受到SYN Flood攻擊后迅速撤換掉自身的IP地址，那么攻擊者繼續(xù)攻擊的只是一個沒有任何主機的空IP地址，而防御方只要將DNS解析更改到新的IP地址就能在很短的時間內(nèi)恢復用戶通過域名進行的正常訪問。為了使假象更逼真，我們甚至可以犧牲一臺服務器讓攻擊者滿足攻擊的“效果”。只要攻擊者的瀏覽器不重起，由于DNS緩沖的原因，攻擊者訪問的仍然是原先的IP地址。

如今很多大電子商務網(wǎng)站實際上都會采用負載均衡架構(gòu)，基于DNS解析的負載均衡本身就擁有對SYN Flood的免疫力，它能將用戶的請求分配到不同IP的服務器主機上，攻擊者攻擊的永遠只是其中一臺服務器，一來這樣增加了攻擊者的成本，二來過多的DNS請求可以幫助我們追溯攻擊者真正的蹤跡（DNS請求不同于SYN攻擊，是需要返回數(shù)據(jù)的，所以很難進行IP偽裝）。

2.2.5防火墻QoS

防火墻一般工作在TCP層之上或IP層之下，工作在TCP層之上的防火墻稱為網(wǎng)關(guān)型防火墻，網(wǎng)關(guān)型防火墻布局中，客戶機與服務器之間并沒有真正的TCP連接，客戶機與服務器之間的所有數(shù)據(jù)交換都是通過防火墻代理的，外部的DNS解析也同樣指向防火墻，所以如果網(wǎng)站被攻擊，真正受到攻擊的是防火墻，雖然防火墻抗打擊能力較強，但是因為所有的TCP報文都需要經(jīng)過防火墻轉(zhuǎn)發(fā)，所以效率比較低。這種架構(gòu)中由于客戶機并不直接與服務器建立連接，在TCP連接沒有完成時防火墻不會去向后臺的服務器建立新的TCP連接，所以攻擊者無法越過防火墻直接攻擊后臺服務器，只要防火墻本身做的足夠強壯，這種架構(gòu)可以抵抗相當強度的SYN Flood攻擊。但是由于防火墻實際建立的TCP連接數(shù)為用戶連接數(shù)的兩倍（防火墻兩端都需要建立TCP連接），同時又代理了所有的來自客戶端的TCP請求和數(shù)據(jù)傳送，在系統(tǒng)訪問量較大時，防火墻自身的負荷會比較高，所以這種架構(gòu)并不能適用于大型網(wǎng)站。