很專業，可惜不太懂

用防火墻防止SYN Flood攻擊               

    DoS（Denial of Service拒絕服務）和DDoS（Distributed Denial of Service分布式拒絕服務）攻擊是大型網站和網絡服務器的安全威脅之一。2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。SYN Flood由于其攻擊效果好，已經成為目前最流行的DoS和DDoS攻擊手段。

    SYN Flood利用TCP協議缺陷，發送了大量偽造的TCP連接請求，使得被攻擊方資源耗盡，無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手，首先客戶端發送一個包含SYN標志的數據包，其后服務器返回一個SYN/ACK的應答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包ACK，這樣才完成TCP連接。在服務器端發送應答包后，如果客戶端不發出確認，服務器會等待到超時，期間這些半連接狀態都保存在一個空間有限的緩存隊列中；如果大量的SYN包發到服務器端后沒有應答，就會使服務器端的TCP資源迅速耗盡，導致正常的連接不能進入，甚至會導致服務器的系統崩潰。

�K�K防火墻通常用于保護內部網絡不受外部網絡的非授權訪問，它位于客戶端和服務器之間，因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。針對SYN Flood，防火墻通常有三種防護方式：SYN網關、被動式SYN網關和SYN中繼。

�K�KSYN網關 防火墻收到客戶端的SYN包時，直接轉發給服務器；防火墻收到服務器的SYN/ACK包后，一方面將SYN/ACK包轉發給客戶端，另一方面以客戶端的名義給服務器回送一個ACK包，完成TCP的三次握手，讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時，有數據則轉發給服務器，否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多，所以這種方法能有效地減輕對服務器的攻擊。

�K�K被動式SYN網關 設置防火墻的SYN請求超時參數，讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包，服務器發往客戶端的SYN/ACK包、以及客戶端發往服務器的ACK包。這樣，如果客戶端在防火墻計時器到期時還沒發送ACK包，防火墻則往服務器發送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限，因此這樣能有效防止SYN Flood攻擊。

�K�KSYN中繼 防火墻在收到客戶端的SYN包后，并不向服務器轉發而是記錄該狀態信息然后主動給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務器發送SYN包并完成三次握手。這樣由防火墻做為代理來實現客戶端和服務器端的連接，可以完全過濾不可用連接發往服務器。

用QQ小心！騰訊公司正在監視你的隱私

    一個偶然的統計，某軟件公司市場經理何生發現，越來越多的色情服務提供者直接找到了他，這讓他大吃一驚。一向持傳統生活態度的何生對此厭惡不已，但似乎又毫無辦法。而這些服務提供者都是騰訊QQ用戶，他們通過QQ交友功能找到了何生。

成為被“獵”對象

　　何生的倒霉始于計算機中了木馬。一封廣告郵件使它的網絡瀏覽器出了問題，每當他要使用網絡瀏覽器時，瀏覽器都會先打開一個色情網站的地址。

　　“我是電腦菜鳥，我不懂，但別人告訴我這沒什么危害，我就沒管�！焙紊�說。

　　在何生看來，中了這樣的木馬，惟一的解決辦法就是格式化硬盤，然后重新安裝操作系統�！拔也粫�別的，只會這一招，但我太忙，哪顧得上格式化硬盤？”

　　于是，何生一直使用著帶木馬的操作系統。過了一段時間，他的QQ上不斷有人申請加入他的好友，何生是個粗心的人，就讓他們加入了。但他們與何生聊的話題卻令人反感。

　　“他們問我對什么樣的女孩子感興趣，愿意付多少錢，或者問我，如果給我提供色情電影，我愿意如何付費，這令我反感！”何生說。他很奇怪這些人為什么會找他談這樣的“生意”。在單位時，何生的QQ一直都開著，他又時常不在電腦跟前，有時同事經過，不小心看到上面的QQ信息，就會在何生背后嘀嘀咕咕。經過幾次這樣的“好友”聊天，何生有些受不了。詢問了同是QQ用戶的朋友，朋友嘲笑他，說自己沒有碰到過這類騷擾，反而認為何生交友不慎，一定是在網上泄漏了個人喜好和QQ資料，何生有苦說不出。

　　經歷多次后，何生忍不住問一位欲向他提供色情服務的QQ用戶：你怎么偏偏找到我？

　　因為和對方有了一些交流，對方對何生也有一定的信任，因此，該用戶告訴何生：你經常去色情網站，因此我覺得你需要這一類的服務，所以找到了你。

　　“我經常上黃色網站？看到這個答復，我當時就傻了，感覺對方就站我身后頭，一直盯著我的屏幕看。我心想，他怎么知道的？”

　　何生試探地問對方如何知道自己經常上黃色網站，對方答，通過QQ提供的一項功能，用戶可以知道同時瀏覽該網頁的其他QQ用戶。

　　原來，何生每打開IE，就會登錄一次色情網站，然后，這個信息可以被QQ發送到同樣登錄了該網站的QQ用戶那里，QQ用戶就認定了該用戶的需求，并想法提供相應的服務。

　　誰在侵犯隱私權

　　何生對此極為不滿，“我上網，為什么要不相干的人知道我在看哪個網頁？騰訊也太過分了！”

　　經過測試，何生發現確實有個“誰與我同在”能實現此功能。為此，記者特地下載了騰訊公司QQ軟件目前的最新版本（簡體版2000C Build 1230），經過測試，的確實現了在瀏覽網頁時，能夠獲知同時瀏覽此網頁的用戶名單以及個人資料。

　　為此，何生認為，像騰訊這樣的網絡企業，向他人提供自己的網絡隱私是違法的�！氨热缯f，別人查到了我的QQ信息，知道了我在QQ上注冊的內容，我覺得沒有什么，因為這是我愿意向騰訊公開的；但我上網時查看哪個網頁，這是我不愿意向騰訊公開的，也不愿意向其他人公開，騰訊卻幫我公開了�！�

　　為此，記者聯系騰訊公司尋求一個說法。幾經周折之后，騰訊公司通過電子郵件轉達了自己的看法。騰訊認為，該項功能有詳盡的風險說明提示，并且還設定了是否愿意被他人查看的功能。

　　記者隨之查找相應的隱私說明，察看了整個安裝過程，并未對該項功能有任何附加說明。在騰訊QQ附帶的瀏覽器中，記者找到了包括“游客”、“隱身”等幾項功能（默認安裝時，用戶被承認完全暴露個人信息），這類同于騰訊并不一定可靠的QQ隱身上線功能一樣，不被何生取信。從另一個角度來說，即便此功能可以防止用戶上網的行蹤不被陌生人知曉，但騰訊照樣可以監控用戶正在察看哪些頁面。

　　“我不知道現在騰訊到底掌握我多少信息，他除了在監控我去哪個網站以外，是不是還監控了我的聊天記錄？比如我和我女朋友經常通過QQ溝通，那上面有些話不足為外人道，如果騰訊也在看……我越想越怕，就像上網時有個黑影永遠跟在我身后！”

　　騰訊公司則認為，騰訊公司并無權力也不必要也無能力監視每個用戶的互聯網行為，任何非法的監視行為都是嚴重的違法行為，違法者將受到法律追究。

　　記者反問何生：你如何知道騰訊在監控你？證據呢？

　　“這還要證據？他（騰訊）都能讓別人知道我在看哪個網頁了，他還能不知道？鐵證如山��！”何生開始感到后怕，“我已經刪除了QQ，真的怕這玩意兒了，我不知道我有多少秘密被別人知道了。雖然我沒什么秘密，但被人這么監視，滋味是不好受的�！�

　　對此，騰訊認為，在技術實現上，QQ采用的是點對點的傳輸方式，在網絡通暢的情況下，QQ之間傳輸的即時信息并不會通過騰訊的中心服務器來傳輸，因此不可能涉及監視用戶的行為。騰訊的server或DB是由專門人員負責，也有加密保護。不泄露用戶資料給其他用戶。

　　就記者理解，騰訊QQ提供此功能，是為了幫助有相同興趣的QQ用戶快速成為好友。比如說，同樣喜歡去某一論壇、網站的用戶可以通過“我與誰同在”功能查到與自己同時瀏覽該網頁的QQ用戶，然后可以申請加入對方的好友列表，這也符合騰訊一直以來的發展思路。騰訊方面相關人士證實了記者的這一猜測。但這一功能的推出，騰訊是否考慮到，這也侵犯了用戶的網絡隱私權？

　　因為騰訊只提供QQ軟件和QQ軟件附帶的騰訊瀏覽器，這兩部分雖然頻繁地使用互聯網絡，但它們并沒有為用戶提供網頁瀏覽的內容，因此，騰訊QQ軟件獲得用戶瀏覽網絡的信息，并把這些信息提供給第三方作為吸引用戶交友的手段，就不應該是騰訊的權利范圍了。

　　一般來說，互聯網用戶在網上注冊登記自己的個人信息時，都會看到相關的個人隱私權利說明，這些隱私權的說明一般由網站自己定制，用戶只能單方面接受，否則網站就不接受用戶的注冊申請。