DDOS攻击

DDOS = Distributed Denial-of-service attack

说白了就是把服务器弄瘫痪的攻击。黑客可以通过发送大量的请求到服务器来消耗它的资源 

Defense Against DOS:

暴力法： Install a network filter to discard any packets that arrive with attacker’s IP

address as their source

• E.g., drop * 66.31.33.7:* -> *:*

放一个过滤器Filter，从某IP来的全部不让访问。

但是这种方法很容易被绕过，黑客如果可以操控多机器 发动分布式DDOS攻击， 无法辨别IP

操纵一大堆别的电脑发动攻击，无法辨别哪些是真的用户哪些是假的

2016年曾经弄瘫Twitter.

So a single SYN from an attacker suffices to force the server to spend some memory

由于TCP的特性， attacker只要随便发一个SYN 就可以让服务器被迫回复一堆消息， attacker也不需要ACK了，狂发SYN就可以加重服务器负担。

没什么好办法防范这个

对于一个公共Public的网络服务， 他们会接受到很多的访问。很难知道这些访问都是哪里来的。而且这些访问甚至可以不完成3次握手，只是狂发SYN。

问题： TCP协议不让我们这么做，没地方多放一个state信息

********

创造state的时机。