返回
tcp syn flood网络攻击原理及其防御实现

tcp syn flood网络攻击原理及其防御实现

ID:34641095

大小:255.89 KB

页数:3页

时间:2019-03-08

tcp syn flood网络攻击原理及其防御实现_第1页
tcp syn flood网络攻击原理及其防御实现_第2页
tcp syn flood网络攻击原理及其防御实现_第3页
资源描述:

《tcp syn flood网络攻击原理及其防御实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据2008年第2期福建电脑159TCPSYNflood网络攻击原理及其防御实现王毅,冯永祥(内蒙..b--r业大学信息工程学院内蒙古呼和浩特010051)【摘要】:本论文讨论现在流行的网络攻击方式,目的是在以后的防火墙的开发中能够寻找出一种比较有效的抵抗洪水攻击的方案。’【关键词】:拒绝服务攻击;SYN-cookie;地址状态监控1.TCPSYNHood攻击介绍:拒绝服务攻击(VenialofService.DoS)是目前比较有效而又非常难于防御的一种网络攻击方式.它的目的就是使服务器不能够为正常访问的用户提供服务:sYN

2、Hood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷。向目标主机发送大量的伪造源地址的SYN连接请求.消耗目标主机的资源。从而不能够为正常用户提供服务。1.1TCP连接建立的过程1℃P三次握手过程如下:1)客户端向服务器端发送一个SYN置位的TCP报文。包含客户端使用的端口号和初始序列号x:2)服务器端收到客户端发送来的SYN报文后.向客户端发送一个SYN和ACK都置位的TCP报文。包含确认号为x+l和服务器的初始序列号Y:3)客户端收到服务器返回的SYN+ACK报文后。向服务器返回一个确认号为y+l序号

3、为x+l的ACK报文.一个标准的TCP连接完成。如图l所示:图I正常情况下TCP连接建立的过程1.2攻击原理客户端通过发送在TCP报头中SYN标志置位的数据分段到服务端来请求建立连接。通常情况下。服务端会按照口报头中的来源地址来返回SYN/ACK置位的数据包给客户端.客户端再返回ACK到服务端来完成一个完整的连接。在攻击发生时.客户端的来源m地址是经过伪造的(spoofed),现行的m路由机制仅检查目的IP地址并进行转发。该m包到达目的主机后返回路径无法通过路由达到的。于是目的主机无法通过TCP三次握手建立连接。在此期间因为TC

4、P缓存队列已经填满。而拒绝新的连接请求。目的主机一直尝试直至超时(大约75秒)。这就是该攻击类型的基本机制。发动攻击的主机只要发送较少的.来源地址经过伪装而且无法通过路由达到的鲥N连接请求至目标主机提供TCP服务的端口,将目的主机的TCP缓存队列填满。就可以实施一次成功的攻击。实际情况下。发动攻击时往往是持续且高速的。如下所示.为SYN玎ood攻击过程示意图这里需要使用经过伪装且无法通过路由达到的来源IP地址。因为攻击者不希望有任何第三方主机可以收到来自目的系统返回的SYN/ACK,第三方主机会返回一个碰、T(主机无法判断该如何

5、处理连接情况时,会通过RST重置连接),从而妨碍攻击进行。如下图所示:由此可以看到.这种攻击方式利用了现有TcP/口协议本身的薄弱环节。而且攻击者可以通过P伪装有效的隐蔽自己。但对于目的主机来说。由于无法判断攻击的真正来源。而不能采取有效的防御措施。2.防御SYNHood的方法SYNHood攻击给互联网造成重大影响后.针对如何防御SYNHood攻击出现了几种比较有效的技术.以下两种技术是目前所有的防御SYNHood攻击的最为成熟和可行的技术2.1SYN-ZookieSYN-cookie是对TCP服务器端的三次握手协议作一些修改,

6、专门用来防范SYNHood攻击的一种手段。它的原理是,在TCP服务器收到TCPSYN包并返回TCPSYN+ACK包时.不分配一个专门的数据区.而是根据这个SYN包计算出一个cookie值。在收到TCPACK包时。TCP服务器在根据那个cookie值检查这个TCPACK包的合法性。如果合法。再分配专门的数据区进行处理未来的1℃P连接。2.2地址状态监控地址状态监控是利用监控工具对网络中的有关TcP连接的数据包进行监控。并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。每个源地址都有一个状态与之对应,总共有四种状态:初态

7、:任何源地址刚开始的状态:NEW状态:第一次出现或出现多次也不能断定存在的源地址的状态;GOOD状态:断定存在的源地址所处的状态:BAD状态:源地址不存在或不可达时所处的状态。具体的动作和状态转换根据代P头中的位码值决定:1)监听到SYN包.如果源地址是第一次出现。则置该源地址的状态为NEW状态;如果是NEW状态或BAD状态;则将该包被直接丢弃.如果是G00D状态不作任何处理。2)监听到ACK或RST包.如果源地址的状态为NEW状态。则转为GOOD状态;如果是GOOD状态则不变;如果是BAD状态则转为NEW状态。3)监听到从服务

8、器来的SYNACK报文(目的地址为addr),表明服务器已经为从addr发来的连接请求建(下转第136页)万方数据136福建电脑2008年第2期能接口,不直接调用具体的数据库.增强了数据库的安全性。4.系统实现的关键技术4.1添加第三方控件到工具箱本系统的开发过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。