3.3. 利用DDOS防范功能确保了网站的安全

在本项目中，我们使用NetScaler 9010 系统的SYN cookies 原理来防范SYN FLOOD攻击。

Cookies被发送到发送请求的用户端，该初始会话状态没有被保留在NetScaler 9010 系统上。正因如此，NetScaler 9010没有为该会话分配内存，正常的由合法的用户发出的TCP连接并不会被终结。NetScaler 9010 系统在收到非HTTP流量的最终ACK包或者收到HTTP流量的HTTP请求包时才为连接分配内存。 正因如此，在多次项目的实施过程中的若干次压力测试下，NetScaler 9010系统可以达到非常高的SYN处理能力（达到2M SYN/SEC）。

NetScaler 9010系统的SYN cookie 机制确保了以下几点：

NetScaler 9010 系统的内存不会浪费在非法的SYN包上，实际上，内存只被用来向合法用户提供服务。

合法用户的普通的TCP对话可以无终断的得到服务，就算系统在SYN FLOOD攻击下也是如此。

正由于内存只在收到HTTP请求后才予以分配给连接， NetScaler 9010 系统使得客户系统的WEB站点避免受到了 “空闲连接” 攻击。 此外，NetScaler 9010系统还能有效的防范7层 DOS 攻击。

一般来讲，有两种类型的7层 HTTP DOS攻击： GET攻击以及 IDLE攻击。 对于GET攻击,黑客在一个连接建立后发出非常多的GET请求。 对于IDLE攻击，攻击者在连接建立后恶意停止一切活动而空闲等待。

NetScaler 9010系统在处理时，当连入的SESSION速率达到一个预先设定的门限值时，DOS防卫功能就自动触发。 NetScaler 9010系统会抽样对一部分客户端请求发送带有SET-COOKIE的响应。 恶意攻击主机通常不会响应SET-COOKIE，所以这些攻击包就会被丢弃。 而普通正常的HTTP请求不会受到影响。 这个触发的门限值以及发送SET-COOKIE的比例值可以针对每个服务来精细微调。 并且，由上所述，连接不会在第一个GET请求到达前建立。所以NetScaler 9010系统也可以有效的防止IDLE攻击。