SYN Flood介绍
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:
大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:
- 首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
- 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。
- 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。
值得注意的是在TCP服务器收到TCP SYN request包时,在发送TCP SYN+ACK包回TCP客户机前,TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态成为半开连接(Half-open Connection)。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
SYN Flood的防范方法
(1) SYN cookie
它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。
该方法可以在服务器上自己使用,确实能缓解SYN Flood攻击,但如果不用SYN而用ACK攻击,DOS仍然有效。即使是这样,就算只有SYN包,由于计算cookie值并不很简单,也需要消耗资源,因此流量大时也会形成DOS的。
(2) SYN proxy
SYN proxy方法一般不在服务器本身使用,而是在服务器前端的防火墙上使用,防火墙上收到SYN包,自己就回复一个SYN+ACK包给发起方,在自己内部建立连接,等发起方将ACK包返回后,再重新构造SYN包发到服务器,建立真正的TCP连接,这个过程中防火墙要给发起方发送SYN+ACK一个包,给服务器发送SYN和ACK两个包,通信的后续包防火墙都应该注意修改序列号或确认号,因为防火墙回复发起方的SYN+ACK包的序列号基本不可能等于服务器发送的SYN+ACK包的序列号,所以要进行调整。syn proxy的方法可以保证到达服务器的连接都是合法的连接,有攻击时服务器并不会受到冲击,都是由防火墙来承受了,本质上也不能真正防御SYN Flood。
原文地址:http://best.newgxu.cn/gxj/?p=449
分享到:
相关推荐
syn flood c的简易实现,编译即可
在Windows下编程实现SYN Flood攻击程序,并实现源地址伪装。
SYN flood是属于DOS攻击的一种典型方式,其发生方式就出现在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手...
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf
DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一...针对SYN Flood,防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继。
学习网路基础tcp/ip,可以用来模拟黑客攻击仅供测试使用。
SYN flood攻击的原理及其防御/SYN flood攻击的原理及其防御/SYN flood攻击的原理及其防御
synflood源码,C语言实现原始套接字可以直接编译,执行./synflood ip
TCP协议的SYN Flood攻击,这种攻击方式虽然原始,但是生命力顽强,长久以来在DDoS圈里一直处于德高望重的地位。SYN Flood攻击的影响也不容小觑,从攻击中可以看到,以SYN Flood为主的数十G流量,很容易就造成被攻击...
A Sample of syn flood in C#
Linux下synflood源码
Microsoft Visual C++ 6.0环境下的syn flood源程序
SYN flood攻击的原理及其防御。。。。。。。。。。。。。。。。。。。。。。。
H3C华三 SecPath防火墙SYN Flood攻击防范的典型组网
SYN flood源代码,可对指定IP的任意端口快速发生SYN数据包,代码利用原始Socket直接操作网络层。 由于微软在XP SP2(包括SP2)以上系统禁止原始SOCKET发生TCP和含无效IP的UDP数据包,所以建议运行在Server 2003。...
在本机(linux)上 模拟syn-flood攻击,验证内核syn-cookie机制。gcc编译后即可使用,启动后使用tcpdump可以抓包
SYNFLOOD 攻击源代码 C++ 实现拒绝服务攻击 可以不断发送SYN包
ipv6 SYN Flood 攻击程序,适用于Linux环境。 配置方法: 先在新立得中安装libnet1和libpcap。...sudo ./synflood6 -t ip地址.端口号 -a 数据包数量 目前只测试过有线环境,不知道无线环境下的网卡是怎么识别的。
软件说明: 在命令提示符下运行,只支持NT/2000/XP/03系统 中国红客联盟(HUC) 在鼎盛时期的DDOS作品 上传只为学习之用,禁止用于非法途径!
synflood 由python编写。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。