找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 21525|回复: 20

[其它] SYN Flood攻击的基本原理及防御

[复制链接]
发表于 2005-5-9 16:32:12 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。   要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起: 大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的: 首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。   问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。  ? 从防御角度来说,有几种简单的解决方法,第一种是缩短SYN Timeout时间,由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x?SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。  ? 第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃。  ? 可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法将毫无用武之地。
routeros
发表于 2005-5-9 17:57:38 | 显示全部楼层
好帖!支持!!!另外,neixinxi我正想找你呢!你的AV火山不常用吗?
routeros
回复

使用道具 举报

发表于 2005-5-9 17:58:57 | 显示全部楼层
好帖!支持!!!另外,neixinxi我正找你呢!你的AV火山不常用吗?(怎么也发重了?发第一遍报错,于是就发了第二遍,看来可能是咱们论坛服务器的事吧!)
routeros
回复

使用道具 举报

发表于 2005-5-9 20:02:04 | 显示全部楼层
好好贴~~~
routeros
回复

使用道具 举报

发表于 2005-5-9 20:02:18 | 显示全部楼层
好好贴~~~
routeros
回复

使用道具 举报

发表于 2005-5-10 21:59:58 | 显示全部楼层
好贴,谢谢
routeros
回复

使用道具 举报

发表于 2005-9-5 11:10:29 | 显示全部楼层
如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址
像这种情况的话,如何能找出攻击者?
routeros
回复

使用道具 举报

发表于 2005-9-5 12:53:10 | 显示全部楼层
想找到攻击者??
如果ISP不配合你,没的找
routeros
回复

使用道具 举报

发表于 2005-9-6 09:34:29 | 显示全部楼层
如果是内网攻击,能不能找到攻击者?或者一些与攻击者相关的信息,如MAC地址等等?
routeros
回复

使用道具 举报

发表于 2005-9-6 21:56:06 | 显示全部楼层
其实什么技术都没用。。如果你的4m带宽,那么我用DDOS发起的syn带宽大过你带宽,什么技术也没用的!嘻嘻。。、
routeros
回复

使用道具 举报

发表于 2005-11-14 10:54:47 | 显示全部楼层
郁闷呀。ros怎么设置才能防syn flood攻击呢?我是菜鸟一个。请高手指点
routeros
回复

使用道具 举报

发表于 2005-11-23 16:37:42 | 显示全部楼层
绑定网不就可以吗
routeros
回复

使用道具 举报

发表于 2005-11-24 19:10:31 | 显示全部楼层
好贴,通俗易懂,正适合我这样初学者,谢谢楼主了,希望以后这样基础贴能多发些!
routeros
回复

使用道具 举报

发表于 2005-11-25 09:29:32 | 显示全部楼层
好贴.值得支持
routeros
回复

使用道具 举报

legou 该用户已被删除
发表于 2005-11-28 00:24:16 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-17 15:39 , Processed in 0.185881 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表