返回
SYNFlood攻击防范技术

SYNFlood攻击防范技术

ID:44291660

大小:405.21 KB

页数:9页

时间:2019-10-20

SYNFlood攻击防范技术_第1页
SYNFlood攻击防范技术_第2页
SYNFlood攻击防范技术_第3页
SYNFlood攻击防范技术_第4页
SYNFlood攻击防范技术_第5页
资源描述:

《SYNFlood攻击防范技术》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SYNFlood攻击防范技术1概述1.1产生背景SYNFlood攻击是一种通过向目标服务器发送SYN报文,消耗其系统资源,削弱冃标服务器的服务提供能力的行为。一般情况下,SYNFlood攻击是在采用IP源地址欺骗行为的基础上,利用TCP连接建立吋的三次握手过程形成的。众所周知,一个TCP连接的建立需要双方进行三次握手,只有当三次握手都顺利完成之后,一个TCP连接才能成功建立。当一个系统(称为客户端)请求与另一个提供服务的系统(称为服务器)建立一个TCP连接吋,双方要进行以下消息交互:(1)客户端向服

2、务器发送一个SYN消息;⑵如果服务器同意建立连接,则响应客户端一个对SYN消息的回应消息(SYN/ACK);⑶客户端收到服务器的SYN/ACK以后,再向服务器发送一个ACK消息进行确认。当服务器收到客户端的ACK消息以后,一个TCP的连接成功完成。连接的建立过程如图1所示:在上述过程中,当服务器收到SYN报文后,在发送SYN/ACK冋应客户端之前,需要分配一个数据区记录这个未完成的TCP连接,这个数据区通常称为TCB资源,此时的TCP连接也称为半开连接。这种半开连接仅在收到客户端响应报文或连接超时后

3、才断开,而客户端在收到SYN/ACK报文之后才会分配TCB资源,因此这种不对称的资源分配模式会被攻击者所利用形成SYNFlood攻击。图2SYNFlood攻击原理图如图2所示,攻击者使用一个并不存在的源IP地址向目标服务器发起连接,该服务器回应SYN/ACK消息作为响应,由于应答消息的目的地址并不是攻击者的实际地址,所以这个地址将无法对服务器进行响应。因此,TCP握手的最后一个步骤将永远不可能发生,该连接就一直处于半开状态直到连接超时后被删除。如果攻击者用快于服务器TCP连接超时的速度,连续对目标服

4、务器开放的端口发送SYN报文,服务器的所有TCB资源都将被消耗,以至于不能再接受其他客户端的正常连接请求。为保证服务器能够正常提供基于TCP协议的业务,防火墙必须能够利用有效的技术瓦解以及主动防御SYNFlood攻击。1.2技术优点H3C在SYNFlood攻击防范技术的实现上具有以下四个方面的特色。1.支持基于安全区域的配置方式H3C实现的SYNFlood攻击防范支持基于安全区域的配置方式,所有攻击检测策略均配置在安全区域上,配置简洁又不失灵活性,既降低网络管理员配置负担,又能满足复杂组网情况下针对

5、安全区域实施不同攻击防范策略的要求。2.提供丰富的告警日志信息H3C实现的SYNFlood攻击防范功能可提供丰富的告警H志信息,可以与第三方软件配合使用,其H志和审计功能不仅能够针对攻击进行实时监测,还能对攻击的历史口志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。3.精确阻断攻击流量H3C实现的SYNFlood攻击防范功能采用基于行为模式的异常检测算法对冃标服务器的网络流量进行检测,通过实时跟踪TCP服务器连接的状态机协商过程,能够有效区分攻击流量和正常流量,从而精确阻断攻击流量。

6、4.提供灵活的防范措施针对SYNFlood攻击,H3C防火墙提供了灵活的防范措施,可根据用户的实际需要,选择对攻击行为进行日志输出、报文丢弃、启用SYNCookie防护功能、启用SafeReset防护功能、通知服务器释放无效半开连接等防范动作。在Internet上,公共服务器是SYNFlood攻击实施的主要对彖。Internet上任何客八端向某个特定的公共服务器发起访问时,其目的IP地址必定是公共服务器对外公开的IP地址。H3C防火墙通过攻击检测技术,统计和分析向公共服务器发起的所有连接的行为待征,

7、來检测和识别攻击报文。在检测到针对服务器的SYNFlood攻击行为后,H3C防火墙可以支持选择多种应对攻击的防范措施,主要包括•两大类:•连接限制技术:采用SYNFlood攻击防范检测技术,对网络中的新建TCP半开连接数和新建TCP连接速率进行实时检测,通过设置检测阈值来有效地发现攻击流量,然后通过阻断新建连接或释放无效连接来抵御SYNFlood攻击。•连接代理技术:采用SYNCookie或SafeReset技术对网络中的TCP连接进行代理,通过精确的验证来准确的发现攻击报文,实现为服务器过滤掉恶意

8、连接报文的同吋保证常规业务的正常运行。连接代理技术除了可以对已检测到攻击的服务器进行代理防范,也可以对可能的攻击对象事先配置,做到全部流量代理,而非攻击发生后再代理,这样可以避免攻击报文己经造成一定损失。2.1SYNFlood攻击检测技术根据统计对象的不同特征,SYNFlood攻击检测可分为两种类型:半开连接数检测、新建连接速率检测。2.1.1半开连接数检测1.原理介绍当恶意客户端向目标服务器发起SYNFlood攻击时,如果恶意客户端采用了仿冒的源IP,那么在目标服务

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。