累了多少Sy
的半连接呢？用
etstat来看一下：
etstata
grepSYN
…
…
1921680183912700791801
0024656
0SYN_RCVD
19216801831312700791801
00246560SYN_RCVD
19216801831912700791801
00246560SYN_RCVD
19216801832112700791801
00246560SYN_RCVD
19216801832212700791801
00246560SYN_RCVD
19216801832312700791801
00246560SYN_RCVD
19216801832512700791801
00246560SYN_RCVD
1921680183371270079180100246560SYN_RCVD
1921680183531270079180100246560SYN_RCVD
…
…
其中SYN_RCVD表示当前未完成的TCPSYN队列，统计一下：
etstata
grepSYNwcl5273
etstata
grepSYNwcl5154
etstata
grepSYNwcl5267…
共有五千多个Sy
的半连接存储在内存中。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法pi
g通。
攻击者可以通过反弹技术使我们对DDOS攻击更难以防御利用反弹服务器反弹DDOS的洪水包，也就是说，通过发送大量的欺骗请求数据包（来源地址为victim，受害服务器，或目标服务器）给I
ter
et上大量的服务器群，而这些服务器群收到请求后将发送大量的
f应答包给victim。结果是原来用于攻击的洪水数据流被大量的服务器所稀释，并最终在受害者处汇集为洪水，使受害者更难以隔离攻击洪水流，并且更难以用Traceback跟踪技术去找到洪水流的来源，如图23所示。
图23利用反弹进行DDOS攻击的结构
f三、DDoS的防范
到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCPIP协议的漏洞，除非你不用TCPIP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1000个人同时给你家里打电话，这时候你的朋友还打得进来吗？
虽然DDos难于防范，但防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：
企业网管理员ISP、ICP管理员骨干网络运营商
（一）企业网管理员
网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。
1．主机上的设置
几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：关闭不必要的服务限制同时打开的Sy
半连接数目缩短Sy
半连接的timeout时间及时更新系统补丁
2．网络设备上的设置
企业网的网络设备可以从防火墙与路由器上考虑r