返回
TCPSYNFlood攻击的原理机制检测与防范及防御方法

TCPSYNFlood攻击的原理机制检测与防范及防御方法

ID:44290994

大小:46.00 KB

页数:3页

时间:2019-10-20

TCPSYNFlood攻击的原理机制检测与防范及防御方法_第1页
TCPSYNFlood攻击的原理机制检测与防范及防御方法_第2页
TCPSYNFlood攻击的原理机制检测与防范及防御方法_第3页
资源描述:

《TCPSYNFlood攻击的原理机制检测与防范及防御方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、TCPSYNFlood攻击的原理机制/检测与防范及防御方法现在的攻击者,无所不在了.対于一些攻击手法,很多高手也都是看在眼里而没什么实质性防范措施.除了改端口,换IP,弄域名..述能做什么?本篇文章介绍了TCPSYNFlood攻击的原理机制/检测与防范及防御方法,希望能给人伙一个思路.TCPSYNFlood攻击的机制客户端通过发送在TCP报头屮SYN标志迸位的数据分段到服务端來请求建立连接。通常情况下,服务端会按照IP报头屮的来源地址来返

2、n

3、SYN/ACK置位的数据包给客户端,客户端再返回ACK到服务端来完成

4、一个完整的连接(Figurc-l)o在攻击发生时,客户端的来源IP地址是经过伪造的(spoofed),现行的IP路由机制仅检查口的IP地址并进行转发,该IP包到达冃的主机后返回路径无法通过路由达到的,于是冃的主机无法通过TCP三次握手建立连接。在此期间因为TCP缓存队列己经填满,而拒绝新的连接请求。目的主机一直尝试直至超时(大约75秒)。这就是该攻击类型的基本机制。发动攻击的主机只要发送较少的,来源地址经过伪装而R无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口,将目的主机的TCP缓存队列填满,就

5、可以实施一次成功的攻击。实际情况下,发动攻击时往往是持续且高速的。Figure-3SYNFloodAttack这里需要使用经过伪装R无法通过路由达到的来源IP地址,因为攻击者不希望冇任何第三方主机可以收到来ftFl的系统返回的SYN/ACK,第三方主机会返冋一个RST(主机无法判断该如何处理连接情况时,会通过RST重置连接),从而妨碍攻击进行。Figure-4IPSpoofing由此可以看到,这种攻击方式利用了现有TCP/IP协议本身的薄弱环节,而且攻击者可以通过IP伪装有效的隐蔽口己。但对于目的主机来说,由于

6、无法判断攻击的真正来源。而不能采取有效的防御扌音施。TCPSYNFlood检测与防范一、分析从上面的分析,可以看出TCPSYNFlood远程拒绝服务攻击具有以下特点:针对TCP/IP协议的薄弱环节进行攻击;发动攻击时,只要很少的数据流虽就可以产生显著的效果;攻击来源无法定位;在服务端无法区分TCP连接请求是否合法。二、系统检查一般情况下,可以一些简单步骤进行检杏,来判断系统是否正在遭受TCPSYNFlood攻击。1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时;2、通过netstat-an命令检查系统,

7、发现有大量的SYN_RECV连接状态。三、防范如何才能做到有效的防范呢?1、TCPWrapper使用TCPWrapper(只有unix-like系统支持该功能,NT?町怜)町能在某些有限的场合下有用,比如服务端只处理有限来源IP的TCP连接请求,其它未指定来源的连接请求一概拒绝。这在一个需要而向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(TPSpoof)来直接攻击受TCPWrapper保护的TCP服务,更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。2、增加TCPBacklog容量增加TCP

8、Backlog容量是一种治标不治木的做法。它一方而要占用更多的系统内存,另一方面延氏了TCP处理缓存队列的时间。攻击者只要不停地的进行SYNFlood一样可以达到拒绝服务的目的。3、ISP接入所有的ISP在边界处理进入的主干网络的IP数据包时检测其來源地址是否合法,如果非指定來源IP地址范围,可以认为是IPSpoofing行为并将之丢弃。在实际环境屮,应为涉及的范围太过广泛,该方案无法实施。这是一个社会问题而非技术问题。TCPSYNFlood检测与防范一、TCP连接监控(TCPInterception)为了有效

9、的防范TCPSYNFlood攻击,在保证通过慢速网络的用户对以正常建立到服务端的合法连接的同时,需要尽可能的减少服务端TCPBacklog的清空时间,人多数防火墙采用了TCP连接监控的工作模式。1.防火墙接到來自川户端Z的SYN连接请求,在本地建立面向该连接的监控表项;2.防火墙将该连接请求之转发至服务端A;3.服务端A相应该连接请求返冋SYN/ACK,同时更新与该连接相关联的监控表项;4.防火墙将该SYN/ACK转发至用户端Z;5.防火墙发送ACK至服务端A,同时服务端A中TCPBacklog该连接的表项被移

10、出;6.这时,根据连接请求是否合法,可能有以下两种情况发生:a.如果來自川户端Z的连接请求合法,防火墙将该ACK转发至服务端A,服务端A会忽略该ACK,因为一个完整的TCP连接已经建立;b.如果来自用户端Z的连接请求非法(来源IP地址非法),没冇在规定的时间内收到返回的ACK,防火墙会发送RST至服务端A以拆除该连接。7.开始TCP传输过程。由此可以看出,该方法具有两个局限:1•不论是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。