很多的新手问滨州邹平网站建设的设计师，为什么网站总是出问题，通过分析，我们发现是大家不会检测网站攻击，特别是攻击数据包。下面滨州邹平网站建设的设计师给大家带来攻击数据包的分析检测方法

（1） 针对http（端口80）建立TCP连接，已完成三次握手，但是客户端不结束连接，消耗Web服务器（IIS）连接资源，造成正常用户很难访问此网站。同时提交各种注入语句攻击应用程序。

　　（2） 攻击地址随机分布，来自不同地域，为真实地址，源端口连续，每秒建立连接2000次左右。

　　（3） 通过查看安全管理平台（SOC）内容过滤日志，发现有GET / HTTP 1.1 url记录，此url出现通常表明有扫描程序在对Web Server进行扫描以判断Web Server类型。

　　根据对攻击数据包的分析，调整防火墙、UTM的策略如下：

　　（1） 在内核配置智能统计策略：

　　根据总体带宽和资源情况限制单位时间内单位IP地址的syn连接次数。

　　典型策略：先对此源地址的连接数据包延迟处理，但缩短超时时间。

　　如果该源地址的出现频度持续增加，将此地址列入黑名单，进行一次性规则限制。

　　（2） 在前端开启syn验证功能：对伪造源地址的syn flooding进行防范。\（3） 开启内容过滤功能：限制head关键字，多数扫描器实现时使用head代替GET.替换服务器信息，屏蔽" Microsoft-IIS/6.0"，替换为"HelloChina"等不相关信息。使扫描器得不到正确的服务器信息，进而不能发出针对该类服务器定制的漏洞探测或者攻击包。

　　（4） 设置连接超时时间。根据网络负载和应用情况进行判断。

　　比如http为短连接应用协议，这样可以把超时时间缩短，将大大减少攻击频度。