dos(denial of service拒絕服務)和ddos(distributed denial of service分布式拒絕服務)攻擊是大型**和網路伺服器的安全威脅之一。2023年2月,yahoo、亞馬遜、**n被攻擊等事例,曾被刻在重大安全事件的歷史中。syn flood由於其攻擊效果好,已經成為目前最流行的dos和ddos攻擊手段。
dos(denial of service拒絕服務)和ddos(distributed denial of service分布式拒絕服務)攻擊是大型**和網路伺服器的安全威脅之一。2023年2月,yahoo、亞馬遜、**n被攻擊等事例,曾被刻在重大安全事件的歷史中。syn flood由於其攻擊效果好,已經成為目前最流行的dos和ddos攻擊手段。
syn flood利用tcp協議缺陷,傳送了大量偽造的tcp連線請求,使得被攻擊方資源耗盡,無法及時回應或處理正常的服務請求。乙個正常的tcp連線需要三次握手,首先客戶端傳送乙個包含syn標誌的資料報,其後伺服器返回乙個syn/ack的應答包,表示客戶端的請求被接受,最後客戶端再返回乙個確認包ack,這樣才完成tcp連線。在伺服器端傳送應答包後,如果客戶端不發出確認,伺服器會等待到超時,期間這些半連線狀態都儲存在乙個空間有限的快取佇列中;如果大量的syn包發到伺服器端後沒有應答,就會使伺服器端的tcp資源迅速耗盡,導致正常的連線不能進入,甚至會導致伺服器的系統崩潰。
防火牆通常用於保護內部網路不受外部網路的非授權訪問,它位於客戶端和伺服器之間,因此利用防火牆來阻止dos攻擊能有效地保護內部的伺服器。針對syn flood,防火牆通常有三種防護方式:syn閘道器、被動式syn閘道器和syn中繼。
syn閘道器 防火牆收到客戶端的syn包時,直接**給伺服器;防火牆收到伺服器的syn/ack包後,一方面將syn/ack包**給客戶端,另一方面以客戶端的名義給伺服器回送乙個ack包,完成tcp的三次握手,讓伺服器端由半連線狀態進入連線狀態。當客戶端真正的ack包到達時,有資料則**給伺服器,否則丟棄該包。由於伺服器能承受連線狀態要比半連線狀態高得多,所以這種方法能有效地減輕對伺服器的攻擊。
被動式syn閘道器 設定防火牆的syn請求超時引數,讓它遠小於伺服器的超時期限。防火牆負責**客戶端發往伺服器的syn包,伺服器發往客戶端的syn/ack包、以及客戶端發往伺服器的ack包。這樣,如果客戶端在防火牆計時器到期時還沒傳送ack包,防火牆則往伺服器傳送rst包,以使伺服器從佇列中刪去該半連線。由於防火牆的超時引數遠小於伺服器的超時期限,因此這樣能有效防止syn flood攻擊。
syn中繼防火牆在收到客戶端的syn包後,並不向伺服器**而是記錄該狀態資訊然後主動給客戶端回送syn/ack包,如果收到客戶端的ack包,表明是正常訪問,由防火牆向伺服器傳送syn包並完成三次握手。這樣由防火牆做為**來實現客戶端和伺服器端的連線,可以完全過濾不可用連線發往伺服器。
分布式防火牆專題
寫在前面的話 隨著網路的快速普及,資訊的安全越來越受到人們的關注,其形式由傳統的防火牆 俗稱邊界防火牆 的基於 訪問控制列表 進行包過濾,逐步變得多樣化。入電路級閘道器技術,應用級閘道器技術和動態包過濾技術。與此同時過濾技術也由先前的網路層,鏈路層逐步擴充套件到 模型的所有層次上面。近期提出的分布式...
關於DDos(分布式拒絕服務攻擊)
分布式拒絕服務 ddos distributed denial of service 攻擊指借助於客戶 伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動ddos攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用乙個偷竊帳號將ddos主控程式安裝在乙個計算機上,在乙個設定的時間...
關於DDos(分布式拒絕服務攻擊)
分布式拒絕服務 ddos distributed denial of service 攻擊指借助於客戶 伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動ddos攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用乙個偷竊帳號將ddos主控程式安裝在乙個計算機上,在乙個設定的時間...