关于SYN Flood攻击防御的简单介绍.docx

关于SYNFlood攻击防御的简单介绍-网络安全频道次元立方网-国内领先安全技术频道-最新IT资讯_电脑知识大全_网络安全教程-次元立方网讲到SYNFlood可能很多人都不是很清楚，对于它会造成什么样的危害也一知半解，今天我就给大家具体介绍一下关于SYNFlood的攻击以及防御的详细操作方法，感兴趣的朋友不妨跟着我一起继续往下看。一、为什么SynFlood会造成危害这要从操作系统的TCP/IP协议栈的实现讲起。当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB(TransmissionControlBlock)，通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYNACK命令，立即转为SYN-RECEIVED即半开连接状态，而某些操作系统在SOCK的实现上最多可开启512个半开连接(如Linux2.4.20内核)。这种经过如下列图所示：从以上经过能够看到，假如恶意的向某个服务器端口发送大量的SYN包，则能够使服务器打开大量的半开连接，分配TCB，进而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比拟可忽略不计。二、怎样防御SynFlood攻击我们先来看一下SynFlood有哪些种类，如下列图所示：1.DirectAttack攻击方使用固定的源地址发起攻击，这种方法对攻击方的消耗最小2.SpoofingAttack攻击方使用变化的源地址发起攻击，这种方法需要攻击方不停地修改源地址，实际上消耗也不大3.DistributedDirectAttack这种攻击主要是使用僵尸网络进行固定源地址的攻击对于第一种攻击的防备能够使用比拟简单的方法，即对SYN包进行监视，假如发现某个IP发起了较多的攻击报文，直接将这个IP列入黑名单即可。当然下述的方法可以以对其进行防备。对于源地址不停变化的攻击使用上述方法则不行，首先从某一个被伪装的IP过来的Syn报文可能不会过多，达不到被拒绝的阈值，其次从这个被伪装的IP(真实的)的请求会被拒绝掉。因而必须使用其他的方法进行处理。1.无效连接监视释放2.这种方法不停监视系统的半开连接和不活动连接，当到达一定阈值时拆除这些连接，进而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYNFlood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因而这种方法属于入门级的SYNFlood方法。3.延缓TCB分配方法4.从前面SYNFlood原理能够看到，消耗服务器资源主要是由于当SYN数据报文一到达，系统立即分配TCB，进而占用了资源。而SYNFlood由于很难建立起正常连接，因而，当正常连接建立起来后再分配TCB则能够有效地减轻服务器资源的消耗。常见的方法是使用SynCache和SynCookie技术。SynCache技术：这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYNACK报文，并在一个专用HASH表(Cache)中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYNACK中需要使用一个己方的SequenceNumber，这个数字不能被对方猜到，否则对于某些略微智能一点的SynFlood攻击软件来讲，它们在发送Syn报文后会发送一个ACK报文，假如己方的SequenceNumber被对方猜想到，则会被其建立起真正的连接。因而一般采用一些加密算法生成难于预测的SequenceNumber。SynCookie技术：对于SYN攻击，SynCache固然不分配TCB，但是为了判定后续对方发来的ACK报文中的SequenceNumber的正确性，还是需要使用一些空间去保存己方生成的SequenceNumber等信息，也造成了一些资源的浪费。SynCookie技术则完全不使用任何存储资源，这种方法比拟巧妙，它使用一种特殊的算法生成SequenceNumber，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比拟固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其能否与对方回应报文中的(SequenceNumber-1)一样，进而决定能否分配TCB资源。3.使用SYNProxy防火墙SynCache技术和SynCookie技术总的来讲是一种主机保护技术，需要系统的TCP/IP协议栈的支持，而目前并非所有的操作系统支持这些技术。因而很多防火墙中都提供一种SYN代理的功能，其主要原理是对试图穿越的SYN请求进行验证后才放行，下列图描绘了这种经过：从上图(左图)中能够看出，防火墙在确认了连接的有效性后，才向内部的服务器(Listener)发起SYN请求，在右图中，所有的无效连接均无法到达内部的服务器。而防火墙采用的验证连接有效性的方法则能够是SynCookie或SynFlood等其他技术。采用这种方式进行防备需要注意的一点就是防火墙需要对整个有效连接的经过发生的数据包进行代理，如下列图所示：由于防火墙代替发出的SYNACK包中使用的序列号为c，而服务器真正的回应包中序列号为c，这其中有一个差值|c-c|，在每个相关数据报文经过防火墙的时候进行序列号的修改。TCPSafeReset技术：这也是防火墙Syn代理的一种方式，其工作经过如下列图所示：这种方法在验证了连接之后立即发出一个SafeReset命令包，进而使得Client重新进行连接，这时出现的Syn报文防火墙就直接放行。在这种方式中，防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。这需要客户端的TCP协议栈支持RFC793中的相关约定，同时由于Client需要两次握手经过，连接建立的时间将有所延长。上面这些内容就是今天我给大家共享的关于SYNFlood会导致的危害以及怎样对其进行防御的详细操作方法了。假如大家对于SYNFlood还想了解更多的话欢迎查看本站其他发文，我这里就不再逐一进行讲解了。