SYN flood網路攻擊的原理及其防禦方法 zt

1.2 攻擊原理

在syn flood攻擊中，黑客機器向受害主機傳送大量偽造源位址的tcp syn報文，受害主機分配必要的資源，然後向源位址返回syn＋ack包，並等待源端返回ack包，如圖2所示。由於源位址是偽造的，所以源端永遠都不會返回ack報文，受害主機繼續傳送syn＋ack包，並將半連線放入埠的積壓佇列中，雖然一般的主機都有超時機制和預設的重傳次數，但是由於埠的半連線佇列的長度是有限的，如果不斷的向受害主機傳送大量的tcp syn報文，半連線佇列就會很快填滿，伺服器拒絕新的連線，將導致該埠無法響應其他機器進行的連線請求，最終使受害主機的資源耗盡。

2.2 位址狀態監控的解決方法

位址狀態監控的解決方法是利用監控工具對網路中的有關tcp連線的資料報進行監控，並對監聽到的資料報進行處理。處理的主要依據是連線請求的源位址。

每個源位址都有乙個狀態與之對應，總共有四種狀態：

初態：任何源位址剛開始的狀態；

new狀態：第一次出現或出現多次也不能斷定存在的源位址的狀態；

good狀態：斷定存在的源位址所處的狀態；

bad狀態：源位址不存在或不可達時所處的狀態。

具體的動作和狀態轉換根據tcp頭中的位碼值決定：

1）監聽到syn包，如果源位址是第一次出現，則置該源位址的狀態為new狀態；如果是new狀態或bad狀態；則將該包的rst位置1然後重新發出去，如果是good狀態不作任何處理。

2）監聽到ack或rst包，如果源位址的狀態為new狀態，則轉為good狀態；如果是good狀態則不變；如果是bad狀態則轉為new狀態；如果是bad狀態則轉為new狀態。

3）監聽到從伺服器來的syn ack報文（目的位址為addr），表明伺服器已經為從addr發來的連線請求建立了乙個半連線，為防止建立的半連線過多，向伺服器傳送乙個ack包，建立連線，同時，開始計時，如果超時，還未收到ack報文，證明addr不可達，如果此時addr的狀態為good則轉為new狀態；如果addr的狀態為new狀態則轉為bad狀態；如果為addr的狀態為bad狀態則不變。

狀態的轉換圖如圖3所示：

初態 good

new

bad

ack/rst

syn

ack/rst

ack包確認超時

ack/rst

ack包確認超時

下面分析一下基於位址狀態監控的方法如何能夠防禦syn flood攻擊。

1）對於乙個偽造源位址的syn報文，若源位址第一次出現，則源位址的狀態為new狀態，當監聽到伺服器的syn+ack報文，表明伺服器已經為該源位址的連線請求建立了半連線。此時，監控程式代源位址傳送乙個ack報文完成連線。這樣，半連線佇列中的半連線數不是很多。計時器開始計時，由於源位址是偽造的，所以不會收到ack報文，超時後，監控程式傳送rst資料報，伺服器釋放該連線，該源位址的狀態轉為bad狀態。之後，對於每乙個來自該源位址的syn報文，監控程式都會主動傳送乙個rst報文。

2）對於乙個合法的syn報文，若源位址第一次出現，則源位址的狀態為new狀態，伺服器響應請求，傳送syn＋ack報文，監控程式傳送ack報文，連線建立完畢。之後，來自客戶端的ack很快會到達，該源位址的狀態轉為good狀態。伺服器可以很好的處理重複到達的ack包。

從以上分析可以看出，基於監控的方法可以很好的防禦syn flood攻擊，而不影響正常使用者的連線。

3 小結

本文介紹了syn flood攻擊的基本原理，然後詳細描述了兩種比較有效和方便實施的防禦方法：syn-cookie技術和基於監控的源位址狀態技術。syn-cookie技術實現了無狀態的握手，避免了syn flood的資源消耗。基於監控的源位址狀態技術能夠對每乙個連線伺服器的ip位址的狀態進行監控，主動採取措施避免syn flood攻擊的影響。這兩種技術是目前所有的防禦syn flood攻擊的最為成熟和可行的技術。

SYN flood網路攻擊的原理及其防禦方法 zt

SYN flood網路攻擊的原理及其防禦方法

Cisco 防止SYN Flood 攻擊原理

什麼是SYN Flood攻擊

SYN flood網路攻擊的原理及其防禦方法 zt

SYN flood網路攻擊的原理及其防禦方法

Cisco 防止SYN Flood 攻擊原理

什麼是SYN Flood攻擊

相關推薦