（1） 針對http（端口80）建立TCP連接，已完成三次握手，但是客戶端不結(jié)束連接，消耗Web服務(wù)器（IIS）連接資源，造成正常用戶很難訪問此網(wǎng)站。同時提交各種注入語句攻擊應(yīng)用程序。

　　（2） 攻擊地址隨機分布，來自不同地域，為真實地址，源端口連續(xù)，每秒建立連接2000次左右。

　　（3） 通過查看安全管理平臺（SOC）內(nèi)容過濾日志，發(fā)現(xiàn)有GET / HTTP 1.1 url記錄，此url出現(xiàn)通常表明有掃描程序在對Web Server進行掃描以判斷Web Server類型。

　　根據(jù)對攻擊數(shù)據(jù)包的分析，調(diào)整防火墻、UTM的策略如下：

　　（1） 在內(nèi)核配置智能統(tǒng)計策略：

　　根據(jù)總體帶寬和資源情況限制單位時間內(nèi)單位IP地址的syn連接次數(shù)。

　　典型策略：先對此源地址的連接數(shù)據(jù)包延遲處理，但縮短超時時間。

　　如果該源地址的出現(xiàn)頻度持續(xù)增加，將此地址列入黑名單，進行一次性規(guī)則限制。

　　（2） 在前端開啟syn驗證功能：對偽造源地址的syn flooding進行防范。\（3） 開啟內(nèi)容過濾功能：限制head關(guān)鍵字，多數(shù)掃描器實現(xiàn)時使用head代替GET.替換服務(wù)器信息，屏蔽" Microsoft-IIS/6.0"，替換為"HelloChina"等不相關(guān)信息。使掃描器得不到正確的服務(wù)器信息，進而不能發(fā)出針對該類服務(wù)器定制的漏洞探測或者攻擊包。

　　（4） 設(shè)置連接超時時間。根據(jù)網(wǎng)絡(luò)負載和應(yīng)用情況進行判斷。

　　比如http為短連接應(yīng)用協(xié)議，這樣可以把超時時間縮短，將大大減少攻擊頻度。