dos(denial of
service拒絕服務)和ddos(distributed denial of
service分布式拒絕服務)攻擊是大型**和網路伺服器的安全威脅之一。2023年2月,yahoo、亞馬遜、cnn被攻擊等事例,曾被刻在重大安全
事件的歷史中。syn flood由於其攻擊效果好,已經成為目前最流行的dos和ddos攻擊手段。
synflood利用tcp協議缺陷,傳送了大量偽造的tcp連線請求,使得被攻擊方資源耗盡,無法及時回應或處理正常的服務請求。乙個正常的tcp連線需要三
次握手,首先客戶端傳送乙個包含syn標誌的資料報,其後伺服器返回乙個syn/ack的應答包,表示客戶端的請求被接受,最後客戶端再返回乙個確認包
ack,這樣才完成tcp連線。在伺服器端傳送應答包後,如果客戶端不發出確認,伺服器會等待到超時,期間這些半連線狀態都儲存在乙個空間有限的快取佇列
中;如果大量的syn包發到伺服器端後沒有應答,就會使伺服器端的tcp資源迅速耗盡,導致正常的連線不能進入,甚至會導致伺服器的系統崩潰。
cisco
防火牆通常用於保護內部網路不受外部網路的非授權訪問,它位於客戶端和伺服器之間,因此利用cisco防火牆來阻止dos攻擊能有效地保護內部的伺服器。
針對syn flood,cisco防火牆通常有三種防護方式:syn閘道器、被動式syn閘道器和syn中繼。
syn閘道器
cisco防火牆收到客戶端的syn包時,直接**給伺服器;cisco防火牆收到伺服器的syn/ack包後,一方面將syn/ack包**給客戶端,
另一方面以客戶端的名義給伺服器回送乙個ack包,完成tcp的三次握手,讓伺服器端由半連線狀態進入連線狀態。當客戶端真正的ack包到達時,有資料則
**給伺服器,否則丟棄該包。由於伺服器能承受連線狀態要比半連線狀態高得多,所以這種方法能有效地減輕對伺服器的攻擊。
被動式syn 閘道器
設定cisco防火牆的syn請求超時引數,讓它遠小於伺服器的超時期限。cisco防火牆負責**客戶端發往伺服器的syn包,伺服器發往客戶端的
syn/ack包、以及客戶端發往伺服器的ack包。這樣,如果客戶端在cisco防火牆計時器到期時還沒傳送ack包,cisco防火牆則往伺服器傳送
rst包,以使伺服器從佇列中刪去該半連線。由於cisco防火牆的超時引數遠小於伺服器的超時期限,因此這樣能有效防止syn
flood攻擊。
syn 中繼
cisco防火牆在收到客戶端的syn包後,並不向伺服器**而是記錄該狀態資訊然後主動給客戶端回送syn/ack包,如果收到客戶端的ack包,表明
是正常訪問,由cisco防火牆向伺服器傳送syn包並完成三次握手。這樣由cisco防火牆做為**來實現客戶端和伺服器端的連線,可以完全過濾不可用
連線發往伺服器。
利用iptables防止syn flood攻擊
命令 iptables n syn flood iptables a syn flood m limit limit 50 s limit burst 10 j return iptables a syn flood j drop iptables i input j syn flood 解釋 n ...
SYN Flood原理及防護
一 為什麼syn flood會造成危害 這要從作業系統的tcp ip協議棧的實現說起。當開放了乙個tcp埠後,該埠就處於listening狀態,不停地監視發到該埠的syn報文,一旦接收到客戶端發來的syn報文,就需要為該請求分配乙個tcb transmission control block 通常乙...
SYN Flood應如何應對
1 什麼是syn flood攻擊 在tcp三次握手時,伺服器接收客戶端的syn請求,作業系統將為該請求分配乙個tcp transmission control block 伺服器返回乙個syn ack請求,並將處於syn rcvd狀態 半開連線狀態 從以上過程可以看到,如果惡意的向某個伺服器端口傳送...