一、前言：

　　近期，网络上出现了一种特殊的DDOS类攻击软件（SynDemo）。该软件不同于以往的攻击软件，它可以模拟内网真实机器的IP，对网关设备进行恶意的TCP-SYN半连接攻击，从而使得整个内网中的PC都无法正常上网，很多深受其害的用户可谓苦不堪言。而目前网络产品市场上，很少有能成功识别该类攻击并实施相关防御措施的网络设备。

　　二、SynDemo TCP-SYN半连接攻击原理分析：

　　该攻击软件与传统的DDOS攻击软件很不一样，普通的DDOS攻击软件只是保证伪装的IP地址属于内网网段就开始发动攻击，针对此类攻击，一般具有安全功能的网关设备（路由器、防火墙等）都可以防御住此类攻击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同，它首先会判断攻击源所处的IP地址段，向内网广播该网段的ARP请求报文，当真实IP地址接受到相关ARP请求报文后，会发送ARP的应答报文，这样，该软件就能够知道，在该网段内的真实IP与MAC对应关系，从而在攻击的时候骗取到网关设备的信任。

　　然后，SynDemo会根据这些真实的IP信息，模拟真实的HTTP报文发给网关设备。当网关设备接受到这些看似正常的报文后，就不会将这些合法报文丢弃，但是SynDemo会高密度的连续地发送这些报文，导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接填满，无法处理那些用于正常上网的数据包，使得内网的所有机器上网速度越来越慢，最后导致整个内网的机器都无法正常上网。

　　三、融合管理系统配合融合网络交换机如何做到高效的内网安全？

　　1、内网安全一体化防御功能

　　内网安全防御功能一共提供了两种防御模式：动态防御和静态防御。动态防御模式下，交换机会动态学习到的PC的IP和MAC地址信息以及对应的端口号，并将其对应关系进行绑定，此时，任何伪装绑定信息的端口、MAC或IP而生成的ARP信息都无法在局域网内传播，可以有效的防御ARP病毒。在静态防御模式下，除了动态绑定的实现的ARP病毒防御外，还能通过特定的算法，对局域网内的TCP-SYN半连接恶意攻击进行防御，比如本文重点提及的DDOS类攻击软件（SynDemo）。

　　2、 智能化异常端口安全功能

　　在现有的各品牌交换机中，如果遭遇到非常强烈的ARP攻击，使得交换机的CPU需要花费大量的精力去处理ARP报文，导致其他数据包的转发无法正常进行，从而使得局域网内的PC出现上网速度缓慢甚至断网的严重后果。针对此类情况，融合网络交换机提供了智能化的异常端口关闭功能，该功能会在强烈的ARP攻击导致局域网内上网速度缓慢的情况时自动关闭遭受攻击的端口，使其不能影响交换机整体转发性能，保障网络正常运行。

　　四、完美解决SynDemo攻击的过程：

　　1、环境准备

         2、SynDemo攻击

　　【1】开启SynDemo攻击，对内网网关(192.168.2.99)进行攻击

　　源IP：192.168.2.201，

　　MAC：00-26-22-DC-78-75

　　攻击目标：192.168.2.99（内网网关）

　　攻击端口：80

　　开启攻击软件，如下图

使用科来抓包软件，如下图：

　　说明：开启该攻击软件后，通过抓包数据分析可以发现该软件会发送ARP报文查询来查找内网所有存在的PC地址，然后模拟这些获取到的地址向内网网关发送TCP-SYN的半连接报文。

　　【2】不开启内网安全功能下的攻击

　　首先通过融合管理系统的内网安全界面或交换机的WEB界面内网安全功能绑定状态，如下图：

　　然后在内网中的任一主机上PING www.union-net.cn -t 。发现无法PING通外网地址，具体如下图：

　　通过上述过程，我们可以发现，局域网内的交换机如果不具有完善的内网安全功能，是无法防御住此类攻击，在SynDemo软件攻击后，局域网内的所有机器都无法访问外网，该恶意软件攻击成功。

　　【3】开启内网安全功能下的攻击

　　通过在融合管理系统的内网安全功能项中，将所有与交换机相连的客户机进行安全绑定操作。如下图：

其中16号端口是实施SynDemo SYN攻击的PC所属端口。

　　通过网内任意一台PC机PING www.union-net.cn -t，截图如下：

　　我们可以看到，在融合管理系统中内网安全功能开启后，SynDemo的攻击对于内网中机器无法造成任何的影响，用户根本感觉不到网络中被攻击了，防御该类恶意软件的攻击成功。

　　五、综述：

　　对于此类攻击，相信任何一个依赖于网络进行业务开展的企业都是非常的头痛的，此攻击对企业所造成的损失是难以估计的，任何一个企业都不希望自己的网络遇到这样的情况。特别是在网吧这样一个特殊的行业中，网络的高效性、流畅性以及稳定性一直是每一个网吧业主所追求的。如果网吧中，总是因为诸如此类的攻击事件导致网络掉线，将会造成网吧的客流量不断的流失，进而给网吧造成不可估量的损失。

　　融合网络作为业界知名的网络设备生产商，秉承想客户之所想，急客户之所急的理念，一直以帮助客户获得最大利益为最终目标。通过长期以来对网吧行业的深入了解，以及在和广大客户深入的沟通和交流中，针对类似于上述的恶意攻击事件，融合网络推出了内网安全智能防御系统—融合管理系统，真正做到了可以完全抵御此类的恶意攻击软件，给客户带来真正的内网安全解决办法。使得网吧在遭受此类软件产生的恶意攻击的时候，不会给网吧造成任何的影响，还网吧一个安全、高效、稳定的网络环境。