SYN flood網路攻擊的原理及其防禦方法 zt

2021-06-15 20:17:06 字數 1842 閱讀 8268

1.2 攻擊原理

在syn flood攻擊中,黑客機器向受害主機傳送大量偽造源位址的tcp syn報文,受害主機分配必要的資源,然後向源位址返回syn+ack包,並等待源端返回ack包,如圖2所示。由於源位址是偽造的,所以源端永遠都不會返回ack報文,受害主機繼續傳送syn+ack包,並將半連線放入埠的積壓佇列中,雖然一般的主機都有超時機制和預設的重傳次數,但是由於埠的半連線佇列的長度是有限的,如果不斷的向受害主機傳送大量的tcp syn報文,半連線佇列就會很快填滿,伺服器拒絕新的連線,將導致該埠無法響應其他機器進行的連線請求,最終使受害主機的資源耗盡。

2.2  位址狀態監控的解決方法

位址狀態監控的解決方法是利用監控工具對網路中的有關tcp連線的資料報進行監控,並對監聽到的資料報進行處理。處理的主要依據是連線請求的源位址。

每個源位址都有乙個狀態與之對應,總共有四種狀態:

初態:任何源位址剛開始的狀態;

new狀態:第一次出現或出現多次也不能斷定存在的源位址的狀態;

good狀態:斷定存在的源位址所處的狀態;

bad狀態:源位址不存在或不可達時所處的狀態。

具體的動作和狀態轉換根據tcp頭中的位碼值決定:

1)監聽到syn包,如果源位址是第一次出現,則置該源位址的狀態為new狀態;如果是new狀態或bad狀態;則將該包的rst位置1然後重新發出去,如果是good狀態不作任何處理。

2)監聽到ack或rst包,如果源位址的狀態為new狀態,則轉為good狀態;如果是good狀態則不變;如果是bad狀態則轉為new狀態;如果是bad狀態則轉為new狀態。

3)監聽到從伺服器來的syn ack報文(目的位址為addr),表明伺服器已經為從addr發來的連線請求建立了乙個半連線,為防止建立的半連線過多,向伺服器傳送乙個ack包,建立連線,同時,開始計時,如果超時,還未收到ack報文,證明addr不可達,如果此時addr的狀態為good則轉為new狀態;如果addr的狀態為new狀態則轉為bad狀態;如果為addr的狀態為bad狀態則不變。

狀態的轉換圖如圖3所示:

初態 good

new

bad

ack/rst

syn

ack/rst

ack包確認超時

ack/rst

ack包確認超時

下面分析一下基於位址狀態監控的方法如何能夠防禦syn flood攻擊。

1)對於乙個偽造源位址的syn報文,若源位址第一次出現,則源位址的狀態為new狀態,當監聽到伺服器的syn+ack報文,表明伺服器已經為該源位址的連線請求建立了半連線。此時,監控程式代源位址傳送乙個ack報文完成連線。這樣,半連線佇列中的半連線數不是很多。計時器開始計時,由於源位址是偽造的,所以不會收到ack報文,超時後,監控程式傳送rst資料報,伺服器釋放該連線,該源位址的狀態轉為bad狀態。之後,對於每乙個來自該源位址的syn報文,監控程式都會主動傳送乙個rst報文。

2)對於乙個合法的syn報文,若源位址第一次出現,則源位址的狀態為new狀態,伺服器響應請求,傳送syn+ack報文,監控程式傳送ack報文,連線建立完畢。之後,來自客戶端的ack很快會到達,該源位址的狀態轉為good狀態。伺服器可以很好的處理重複到達的ack包。

從以上分析可以看出,基於監控的方法可以很好的防禦syn flood攻擊,而不影響正常使用者的連線。

3   小結

本文介紹了syn flood攻擊的基本原理,然後詳細描述了兩種比較有效和方便實施的防禦方法:syn-cookie技術和基於監控的源位址狀態技術。syn-cookie技術實現了無狀態的握手,避免了syn flood的資源消耗。基於監控的源位址狀態技術能夠對每乙個連線伺服器的ip位址的狀態進行監控,主動採取措施避免syn flood攻擊的影響。這兩種技術是目前所有的防禦syn flood攻擊的最為成熟和可行的技術。

SYN flood網路攻擊的原理及其防禦方法

1 syn flood攻擊介紹 拒絕服務攻擊 denial of service,dos 是目前比較有效而又非常難於防禦的一種網路攻擊方式,它的目的就是使伺服器不能夠為正常訪問的使用者提供服務。所以,dos對一些緊密依靠網際網路開展業務的企業和組織帶來了致命的威脅。syn flood是最為有效和流行...

Cisco 防止SYN Flood 攻擊原理

dos denial of service拒絕服務 和ddos distributed denial of service分布式拒絕服務 攻擊是大型 和網路伺服器的安全威脅之一。2000年2月,yahoo 亞馬遜 cnn被攻擊等事例,曾被刻在重大安全 事件的歷史中。syn flood由於其攻擊效果好...

什麼是SYN Flood攻擊

syn flood syn洪水 是種典型的dos denial of service,拒絕服務 攻擊。效果就是伺服器tcp連線資源耗盡,停止響應正常的tcp連線請求。說到原理,還得從tcp如何建立連線 connection 講起。通訊的雙方最少得經過3次成功的資訊交換才能進入連線全開狀態 full ...