近期，網絡上出現了一種特殊的DDOS類攻擊軟件(SynDemo)。該軟件不同于以往的攻擊軟件，它可以模擬內網真實機器的IP，對網關設備進行惡意的TCP-SYN半連接攻擊，從而使得整個內網中的PC都無法正常上網，很多深受其害的用戶可謂苦不堪言。而目前網絡產品市場上，很少有能成功識別該類攻擊并實施相關防御措施的網絡設備。

　　二、SynDemo TCP-SYN半連接攻擊原理分析：

　　該攻擊軟件與傳統的DDOS攻擊軟件很不一樣，普通的DDOS攻擊軟件只是保證偽裝的IP地址屬于內網網段就開始發動攻擊，針對此類攻擊，一般具有安全功能的網關設備(路由器、防火墻等)都可以防御住此類攻擊。但是SynDemo這款軟件卻與其他DDOS攻擊軟件有所不同，它首先會判斷攻擊源所處的IP地址段，向內網廣播該網段的ARP請求報文，當真實IP地址接受到相關ARP請求報文后，會發送ARP的應答報文，這樣，該軟件就能夠知道，在該網段內的真實IP與MAC對應關系，從而在攻擊的時候騙取到網關設備的信任。

　　然后，SynDemo會根據這些真實的IP信息，模擬真實的HTTP報文發給網關設備。當網關設備接受到這些看似“正�！钡膱笪暮�，就不會將這些“合法”報文丟棄，但是SynDemo會高密度的連續地發送這些報文，導致在一定時間內網關設備的NAT狀態表被這些看似合法的半鏈接“填滿”，無法處理那些用于正常上網的數據包，使得內網的所有機器上網速度越來越慢，最后導致整個內網的機器都無法正常上網。

　　三、融合管理系統配合融合網絡交換機如何做到高效的內網安全？

　　1、內網安全一體化防御功能

　　內網安全防御功能一共提供了兩種防御模式：動態防御和靜態防御。動態防御模式下，交換機會動態學習到的PC的IP和MAC地址信息以及對應的端口號，并將其對應關系進行綁定，此時，任何偽裝綁定信息的端口、MAC或IP而生成的ARP信息都無法在局域網內傳播，可以有效的防御ARP病毒。在靜態防御模式下，除了動態綁定的實現的ARP病毒防御外，還能通過特定的算法，對局域網內的TCP-SYN半連接惡意攻擊進行防御，比如本文重點提及的DDOS類攻擊軟件(SynDemo)。

　　2、 智能化異常端口安全功能

　　在現有的各品牌交換機中，如果遭遇到非常強烈的ARP攻擊，使得交換機的CPU需要花費大量的精力去處理ARP報文，導致其他數據包的轉發無法正常進行，從而使得局域網內的PC出現上網速度緩慢甚至斷網的嚴重后果。針對此類情況，融合網絡交換機提供了智能化的異常端口關閉功能，該功能會在強烈的ARP攻擊導致局域網內上網速度緩慢的情況時自動關閉遭受攻擊的端口，使其不能影響交換機整體轉發性能，保障網絡正常運行。