SYN洪水攻擊 原理 SYN攻擊 最近對SYN Flood特別感興趣,看到壹個關於SYN cookie firewall的文章,在google搜了壹下,沒中文的,翻譯他壹下 本文介紹了4個概念 壹:介紹SYN 二:什麽是SYN洪水攻擊 三:什麽是SYN cookie 四:什麽是SYN cookie防火墻 C=client(客戶器) S=Server(服務器) FW=Firewall(防火墻) 壹:介紹SYN SYN cookie是壹個防止SYN洪水攻擊技術。他由D. J. Bernstein和Eric Schenk發明。現在SYN COOKIE已經是linux內核的壹部分了(我插壹句 ,默認的stat是no),但是在linux系統的執行過程中它只保護linux系統。我們這裏只是說創建壹個linux防火墻,他可以為整個網絡和所有的網 絡操作系統提供SYN COOKIE保護妳可以用這個防火墻來阻斷半開放式tcp連接,所以這個受保護的系統不會進入半開放狀態(TCP_SYN_RECV)。當 連接完全建立的時候,客戶機到服務器的連接要通過防火墻來中轉完成。 二:什麽是SYN洪水攻擊?(來自CERT的警告) 當壹個系統(我們叫他客戶端)嘗試和壹個提供了服務的系統(服務器)建立TCP連接,C和服務端會交換壹系列報文。 這種連接技術廣泛的應用在各種TCP連接中,例如telnet,Web,email,等等。 首先是C發送壹個SYN報文給服務端,然後這個服務端發送壹個SYN-ACK包以回應C,接著,C就返回壹個ACK包來實現壹次完 整的TCP連接。就這樣,C到服務端的連接就建立了,這時C和服務端就可以互相交換數據了。下面是上文的圖片說明:) Client Server ------ ------ SYN--------------------> <--------------------SYN-ACK ACK--------------------> Client and server can now send service-specific data 在S返回壹個確認的SYN-ACK包的時候有個潛在的弊端,他可能不會接到C回應的ACK包。這個也就是所謂的半開放連接,S需要 耗費壹定的數量的系統內存來等待這個未決的連接,雖然這個數量是受限的,但是惡意者可以通過創建很多的半開放式連接來發動SYN洪水攻擊 。 通過ip欺騙可以很容易的實現半開放連接。攻擊者發送SYN包給受害者系統,這個看起來是合法的,但事實上所謂的C根本不會回應這個 。 SYN-ACK報文,這意味著受害者將永遠不會接到ACK報文。 而此時,半開放連接將最終耗用受害者所有的系統資源,受害者將不能再接收任何其他的請求。通常等待ACK返回包有超時限制,所以半開放 。 連接將最終超時,而受害者系統也會自動修復。雖然這樣,但是在受害者系統修復之前,攻擊者可以很容易的壹直發送虛假的SYN請求包來持續 攻擊。 在大多數情況下,受害者幾乎不能接受任何其他的請求,但是這種攻擊不會影響到已經存在的進站或者是出站連接。雖然這樣,受害者系統 還是可能耗盡系統資源,以導致其他種種問題。 攻擊系統的位置幾乎是不可確認的,因為SYN包中的源地址多數都是虛假的。當SYN包到達受害者系統的時候,沒有辦法找到他的真實地址 ,因為在基於源地址的數據包傳輸中,源ip過濾是唯壹可以驗證數據包源的方法。 三:什麽是SYN cookie? SYN cookie就是用壹個cookie來響應TCP SYN請求的TCP實現,根據上面的描述,在正常的TCP實現中,當S接收到壹個SYN數據包,他返回 壹個SYN-ACK包來應答,然後進入TCP-SYN-RECV(半開放連接)狀態來等待最後返回的ACK包。S用壹個數據空間來描述所有未決的連接, 然而這個數據空間的大小是有限的,所以攻擊者將塞滿這個空間。 在TCP SYN COOKIE的執行過程中,當S接收到壹個SYN包的時候,他返回壹個SYN-ACK包,這個數據包的ACK序列號是經過加密的,也就 是說,它由源地址,端口源次序,目標地址,目標端口和壹個加密種子計算得出。然後S釋放所有的狀態。如果壹個ACK包從C返回, S將重新計算它來判斷它是不是上個SYN-ACK的返回包。如果這樣,S就可以直接進入TCP連接狀態並打開連接。這樣,S就可以 避免守侯半開放連接了。 以上只是SYN COOKIE的基本思路,它在應用過程中仍然有許多技巧。請在前幾年的kernel郵件列表查看archive of discussions的相關詳細 內容。 4,什麽是SYN COOKIE 防火墻 SYN COOKIE 防火墻是SYN cookie的壹個擴展
麻煩采納,謝謝!
上一篇:為什麽央視版的Tom and Jerry Kids(Q版貓和老鼠)怎麽都找不到國語的。下一篇:王維的詩全集