亚洲最新永久观看在线,亚洲澳门在线高清无码,欧美suv日韩在线观看,国产一区二区精品久久

SYN Flood要不要開呢？我們都知道，SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。 要明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在服務端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，SYN Flood建立TCP連接的標準過程為什么會造成危害呢？

Syn Flood防御：http://www.ukunilife.com/security/waf.html

一、為什么Syn Flood會造成危害

這要從操作系統(tǒng)的TCP/IP協(xié)議棧的實現(xiàn)說起。當開放了一個TCP端口后，該端口就處于Listening狀態(tài)，不停地監(jiān)視發(fā)到該端口的SYN報文，一旦接收到客戶端發(fā)來的SYN報文，就需要為該請求分配一個TCB(Transmission Control Block)，通常一個TCB至少需要280個字節(jié)，在某些操作系統(tǒng)中TCB甚至需要1300個字節(jié)，并返回一個SYN+ACK報文，立即轉(zhuǎn)為SYN_RCVD即半開連接狀態(tài)，而某些操作系統(tǒng)在SOCK的實現(xiàn)上最多可開啟512個半開連接(如Linux2.4.20內(nèi)核)。

從以上過程可以看到，如果惡意的向某個服務器端口發(fā)送大量的SYN包，則可以使服務器打開大量的半開連接，分配TCB，從而消耗大量的服務器資源，同時也使得正常的連接請求無法被響應。而攻擊發(fā)起方的資源消耗相比較可忽略不計。

二、如何防御Syn Flood攻擊

我們先來看一下Syn Flood有哪些種類，如下圖所示：

1.Direct Attack 攻擊方使用固定的源地址發(fā)起攻擊，這種方法對攻擊方的消耗最小。

2.Spoofing(欺騙) Attack 攻擊方使用變化的源地址發(fā)起攻擊，這種方法需要攻擊方不停地修改源地址，實際上消耗也不大。

3.Distributed Direct Attack 這種攻擊主要是使用僵尸網(wǎng)絡進行固定源地址的攻擊

僵尸網(wǎng)絡(Botnet) 是指采用一種或多種傳播手段，將大量主機感染bot程序病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡。 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡。

對于第一種攻擊的防范可以使用比較簡單的方法，即對SYN包進行監(jiān)視，如果發(fā)現(xiàn)某個IP發(fā)起了較多的攻擊報文，直接將這個IP列入黑名單即可。當然下述的方法也可以對其進行防范。

對于源地址不停變化的攻擊使用上述方法則不行，首先從某一個被偽裝的IP過來的SYN報文可能不會太多，達不到被拒絕的閾值，其次從這個被偽裝的IP(真實的)的請求會被拒絕掉。因此必須使用其他的方法進行處理。

1.無效連接監(jiān)視釋放

這種方法不停監(jiān)視系統(tǒng)的半開連接和不活動連接，當達到一定閾值時拆除這些連接，從而釋放系統(tǒng)資源。這種方法對于所有的連接一視同仁，而且由于SYN Flood造成的半開連接數(shù)量很大，正常連接請求也被淹沒在其中被這種方式誤釋放掉，因此這種方法屬于入門級的SYN Flood方法。

2.延緩TCB分配方法

從前面SYN Flood原理可以看到，消耗服務器資源主要是因為當SYN數(shù)據(jù)報文一到達，系統(tǒng)立即分配TCB，從而占用了資源。而SYN Flood由于很難建立起正常連接，因此，當正常連接建立起來后再分配TCB則可以有效地減輕服務器資源的消耗。常見的方法是使用Syn Cache和Syn Cookie技術。

Syn Cache技術：

這種技術是在收到SYN數(shù)據(jù)報文時不急于去分配TCB，而是先回應一個SYN ACK報文，并在一個專用HASH表(Cache)中保存這種半開連接信息，直到收到正確的回應ACK報文再分配TCB。在FreeBSD系統(tǒng)中這種Cache每個半開連接只需使用160字節(jié)，遠小于TCB所需的736個字節(jié)。在發(fā)送的SYN+ACK中需要使用一個己方的Sequence Number，這個數(shù)字不能被對方猜到，否則對于某些稍微智能一點的Syn Flood攻擊軟件來說，它們在發(fā)送Syn報文后會發(fā)送一個ACK報文，如果己方的Sequence Number被對方猜測到，則會被其建立起真正的連接。因此一般采用一些加密算法生成難于預測的Sequence Number。

Syn Cookie技術：

對于SYN攻擊，Syn Cache雖然不分配TCB，但是為了判斷后續(xù)對方發(fā)來的ACK報文中的Sequence Number的正確性，還是需要使用一些空間去保存己方生成的Sequence Number等信息，也造成了一些資源的浪費。

Syn Cookie技術則完全不使用任何存儲資源，這種方法比較巧妙，它使用一種特殊的算法生成Sequence Number，這種算法考慮到了對方的IP、端口、己方IP、端口的固定信息，以及對方無法知道而己方比較固定的一些信息，如MSS、時間等，在收到對方的ACK報文后，重新計算一遍，看其是否與對方回應報文中的(Sequence Number-1)相同，從而決定是否分配TCB資源。