SYN攻击原理与防范技术
来源:asp之家 发布时间:2009-09-20 20:17:00
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。
一、TCP握手协议
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
Backlog参数:表示未连接队列的最大容纳数目。
SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
二、SYN攻击原理
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
三、SYN攻击工具
SYN攻击实现起来非常的简单,互联网上有大量现成的SYN攻击工具。
Windows系统下的SYN工具:
以synkill.exe为例,运行工具,选择随机的源地址和源端囗,并填写目标机器地址和TCP端囗,激活运行,很快就会发现目标系统运行缓慢。如果攻击效果不明显,可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗,此时可选择允许访问的TCP端囗,通常,Windows系统开放tcp139端囗,UNIX系统开放tcp7、21、23等端囗。
四、检测SYN攻击
检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:
很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:
显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。
猜你喜欢
- 一、序言现在很多网站对用户的访问权限进行了严格的限制,用户在访问某些资源时需要给出“用户名/口令"来确认自己的身份。目前,使用最多
- VMware中网络设置之Bridged 也是关于linux下vmware桥接模式、静态ip上外网的配置,不过当时更多的是用图形界面来实现的,
- 对那些出门在外的使用无线网络的旅行者来说,不管他们是在一个咖啡屋里使用无线访问点,还是在一个飞机场,还是在其度过夜间时光的一个旅馆里,一个值
- 拥有7亿多用户和300多个互联网产品的马化腾如何在多元化的急速扩张中掌控航向,超越“跟风者”的形象,并构建一个世界上前所未有庞大的Web2.
- 随着互联网发展的趋势,也越来越多的人依赖着互联网。网络教育、网上招聘、博客和上网购物、电子商务的交易等都与互联网息息相关。上网购物、应聘、交
- 圣何塞搜索引擎策略( SES )大会上,显现的主要趋势之一是:图像搜索这一角色越来越重要。这篇文章将会谈一点有关:图像搜索的重要性为什么会逐
- 闭关许久后,史玉柱再度搞出了网游“新意思”。昨天下午,巨人网络在上海宣布一款新网游《绿色征途》将于2
- 与Windows XP相比,Windows Vista内置的桌面图标有了一定的变化,如移除了在Windows 系统中存在多年的IE(Inte
- 10月27日消息,据国外媒体报道,在过去5年,互联网搜索市场发生了很大变化,中国领先搜索百度受益无穷。百度于周一在美国股市收盘之后公布了第三
- 基本步骤:分区——格式化——挂载——写入文件1、首先用fdisk -l命令查看添加的硬盘名称,可以看到sdb为新增的硬盘[root@orac
- 从使用虚拟空间到使用独立服务器,这对一个站长来说是一件惊天动地的大事,对于一个没有拿自己电脑做过服务器的站长来说,第一次拿到属于自己的服务器
- OFFICE文档是我们办公中使用最普遍的文档格式之一,它里面存储内容一般都是涉及公司或个人的重要内容,在很多情况下是禁止别人修改或者查看的。
- 今天我们来学习Godaddy主机用户怎样使用Hosting Control Center的File Manager,来重命名托管帐户里的某文
- Moderator 是一个基于 Adobe AIR 的应用程序,可以运行在桌面,它包含一个 WordPress 插件,用户可以直接在桌面上管
- 域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS
- 伴随着康盛创想(Comsenz)2010年核心产品Discuz! X1的正式发布,如何更快应用新的模板机制改版已经成为站长建站普遍关注的焦点
- 核心提示:搜索引擎与搜索引擎营销之间的关系,究竟什么才是未来的发展方向?我们的目的是什么?本质上都是从用户出发,可究竟未来可变的路线是什么?
- 1.前言:木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、盗窃密码、甚至用你
- 有Godaddy主机用户咨询有关Cron的一些问题,今天我们就来一起讨论下吧,其实Cron是一个计划任务的标准的Linux特征,叫做&quo
- 现在的个人站长依靠Google广告,收入明显地比过去两年减少,从而不少站长都转向做英文站,以获得高额收入,对于新朋友来说,做英文站可不像脑中