SYN 洪泛攻击以及如何解决SYN 洪泛攻击

Posted fly-wlz

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SYN 洪泛攻击以及如何解决SYN 洪泛攻击相关的知识,希望对你有一定的参考价值。

在三次握手的过程中,服务器为了响应一个受到的SYN报文段,会分配并初始化连接变量和缓存,然后服务器发送一个SYNACK报文段进行响应,并等待客户端的ACK报文段。如果客户不发送ACK来完成该三次握手的第三步,最终(通常在一分多钟之后)服务器将终止该半开连接并回收资源。

这种TCP连接管理协议的特性就会有这样一个漏洞,攻击者发送大量的TCP SYN报文段,而不完成第三次握手的步骤。随着这种SYN报文段的不断到来,服务器不断为这些半开连接分配资源,从而导致服务器连接资源被消耗殆尽。这种攻击就是SYN泛供攻击

为了应对这种攻击,现在有一种有效的防御系统,称为SYN cookie。SYN cookie的工作方式如下:

(1) 当服务器接收到一个SYN报文段时,它并不知道该报文段是来自一个合法的用户,还是这种SYN洪泛攻击的一部分。因为服务器不会为该报文段生成一个半开的连接。相反,服务器生成一个初始TCP序列号,该序列号是SYN报文段的源IP地址和目的IP地址,源端口号和目的端口号以及仅有服务器知道的秘密数的复杂函数(散列函数)。这种精心制作的初始序列号称为为“cookie”。服务器则发送具有这种特殊初始序号的SYNACK报文分组。服务器并不记忆该cookie或任何对应于SYN的其他状态信息。

(2) 如果该客户是合法的,则它将返回一个ACK报文段。当服务器收到该ACK报文段,需要验证该ACK是与前面发送的某个SYN相对应。由于服务器并不维护有关SYN报文段的记忆,所以服务器通过使用SYNACK报文段中的源和目的IP地址与端口号以及秘密数运行相同的散列函数。如果这个函数的结果(cookie值)加1和在客户的ACK报文段中的确认值相同的话,那么服务器就会认为该ACK对应于较早的SYN报文段,因此它是合法的。服务器则会生成一个套接字的全开连接。

(3) 另一方面,如果客户没有返回一个ACK报文段,说明之前的SYN报文段是洪泛攻击的一部分,但是它并没有对服务器产生危害,因为服务器没有为它分配任何资源。

以上是关于SYN 洪泛攻击以及如何解决SYN 洪泛攻击的主要内容,如果未能解决你的问题,请参考以下文章

Tcp连接的建立及SYN洪泛攻击

Tcp连接的建立及SYN洪泛攻击

Tcp连接的建立及SYN洪泛攻击

Tcp连接的建立及SYN洪泛攻击

关于syn/ack攻击,如何消除阿?!

国内网站遭遇SYN攻击事如何及时解决问题