`
eriol
  • 浏览: 408976 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

SYN flood

阅读更多

SYN Flood介绍

 

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:

 

大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:

  1. 首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 
  2. 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。 
  3. 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。 

以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。 

 

值得注意的是在TCP服务器收到TCP SYN request包时,在发送TCP SYN+ACK包回TCP客户机前,TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态成为半开连接(Half-open Connection)。

 

问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 

 

 

SYN Flood的防范方法

 

(1) SYN cookie

它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。

 

该方法可以在服务器上自己使用,确实能缓解SYN Flood攻击,但如果不用SYN而用ACK攻击,DOS仍然有效。即使是这样,就算只有SYN包,由于计算cookie值并不很简单,也需要消耗资源,因此流量大时也会形成DOS的。

 

(2) SYN proxy

SYN proxy方法一般不在服务器本身使用,而是在服务器前端的防火墙上使用,防火墙上收到SYN包,自己就回复一个SYN+ACK包给发起方,在自己内部建立连接,等发起方将ACK包返回后,再重新构造SYN包发到服务器,建立真正的TCP连接,这个过程中防火墙要给发起方发送SYN+ACK一个包,给服务器发送SYN和ACK两个包,通信的后续包防火墙都应该注意修改序列号或确认号,因为防火墙回复发起方的SYN+ACK包的序列号基本不可能等于服务器发送的SYN+ACK包的序列号,所以要进行调整。syn proxy的方法可以保证到达服务器的连接都是合法的连接,有攻击时服务器并不会受到冲击,都是由防火墙来承受了,本质上也不能真正防御SYN Flood。

 

 

原文地址:http://best.newgxu.cn/gxj/?p=449

分享到:
评论

相关推荐

    syn flood测试工具

    **TCP/IP基础知识** TCP/IP(Transmission Control Protocol/Internet Protocol)是互联网上最广泛使用的...同时,也要关注网络防御技术的发展,如SYN Cookie、连接复用等技术,它们是抵抗SYN Flood攻击的有效手段。

    SYN flood C源代码

    SYN flood是属于DOS攻击的一种典型方式,其发生方式就出现在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手...

    synflood.zip

    标题“synflood.zip”指的是一个包含用于模拟SYN Flood攻击的工具的压缩包。SYN Flood是一种拒绝服务(DoS)攻击,攻击者通过发送大量伪造的TCP连接请求(SYN包)来淹没目标服务器,使其无法处理合法用户的请求。...

    Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf

    Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进 Linux操作系统中,SYN Flood攻击是一种常见的DoS攻击方式,对服务器的性能造成了极大的影响。为了防止SYN Flood攻击,SYN Cookie是一种常用的防御方式。本文...

    SYN Flood攻击源程序

    Microsoft Visual C++ 6.0环境下的syn flood源程序

    Linux下synflood源码

    在IT领域,特别是网络安全部分,"Linux下synflood源码"是一个与网络攻击和防御相关的主题。Synflood是一种拒绝服务(DoS)攻击,它利用TCP协议的三次握手过程来消耗目标服务器的资源,导致正常的服务请求无法处理。...

    原始套接字 synflood攻击

    syn flood c的简易实现,编译即可

    syn flood.zip

    **SYN Flood攻击详解** SYN Flood是一种常见的拒绝服务(Denial of Service, DoS)攻击,通过利用TCP协议的握手过程来瘫痪目标网络或系统。这种攻击方式利用了TCP连接建立时的三次握手机制,大量发送SYN(同步序列...

    SYN flood攻击的原理及其防御

    ### SYN Flood攻击的原理及其防御 #### 一、SYN Flood攻击概述 拒绝服务(Denial of Service,简称DoS)攻击是一种常见的网络攻击手段,其目的是通过各种方法占用目标系统的资源,使得合法用户无法正常访问服务。...

    TCP协议的SYN Flood攻击原理详细讲解

    TCP协议的SYN Flood攻击是网络层的一种拒绝服务(DDoS)攻击手段,它通过大量伪造的SYN请求,使目标服务器陷入持续的握手过程,消耗大量资源,从而导致正常服务无法进行。TCP协议作为互联网上的重要协议,因其可靠的...

    SYN flood攻击的原理及其防御.rar

    **SYN Flood攻击原理** SYN Flood攻击是网络层拒绝服务(DoS,Denial of Service)攻击的一种常见形式,其主要目标是消耗受害服务器的TCP连接资源,使其无法正常处理合法用户的请求,从而导致服务中断。攻击者通过...

    Linux平台下防御SYN Flood攻击策略的研究.pdf

    【标题】: "Linux平台下防御SYN Flood攻击策略的研究" 【描述】: 本文主要探讨了在Linux操作系统环境下如何有效防御SYN Flood攻击,并提出了改进算法和构建新型防御模块。 【标签】: Linux操作系统、系统开发、...

    防火墙防止DDOS SYN Flood的原理详细介绍

    DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一...针对SYN Flood,防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继。

    syn flood tool

    **SYN Flood攻击详解** SYN Flood是一种网络拒绝服务(Denial of Service, DoS)攻击,它利用TCP协议的缺陷来瘫痪目标网络或服务器。这种攻击方式主要针对TCP三次握手过程,使得受害服务器资源耗尽,无法正常提供...

    syn flood 代码

    这段代码主要涉及的是一个在Windows环境下编译实现SYN Flood攻击的程序。SYN Flood是一种常见的拒绝服务(DoS)攻击方式,通过发送大量的半连接请求来耗尽目标服务器的资源。接下来将详细解释代码中的关键部分以及...

    synflood 攻击 C语言文件 源码 原始套接字

    synflood源码,C语言实现原始套接字可以直接编译,执行./synflood ip

    C++原始SOCKET编写的SYN Flood 源码

    SYN flood源代码,可对指定IP的任意端口快速发生SYN数据包,代码利用原始Socket直接操作网络层。 由于微软在XP SP2(包括SP2)以上系统禁止原始SOCKET发生TCP和含无效IP的UDP数据包,所以建议运行在Server 2003。...

    buha_sources_id_2_dlfile.rar_SYNflood_syn flood

    标题中的"buha_sources_id_2_dlfile.rar_SYNflood_syn flood"暗示了这是一个关于SYN Flood攻击的源代码文件,其中"SYNFlood"和"syn_flood"是网络攻防领域中著名的DDoS(分布式拒绝服务)攻击类型。SYN Flood攻击是一...

    SynFlood_C#_

    A Sample of syn flood in C#

    SYN flood攻击

    **SYN Flood攻击详解** SYN Flood攻击是网络层的一种拒绝服务(Denial of Service, DoS)攻击方式,它利用TCP协议建立连接的三次握手过程来耗尽目标服务器的资源,导致正常用户无法访问服务。攻击者通过发送大量的...

Global site tag (gtag.js) - Google Analytics