SYN Flood攻击防范技术
SYN FlOOD攻击原理、检测及防御
关键 词 : S Y N F l o o务攻击和分布式拒绝服务攻击是网络攻击方式中危害极 3 S Y N F l o o d攻击 检测 大的攻击, 和其他的网络攻击不 同, 拒绝服务攻击不是对攻击 目标的 3 . 1传统 检测 方法 系统和数据进行危害, 而是对攻击 目标的网络进行耗尽 , 同时对系统 种是查看本地连接是否有大量的半开连接队列 ,但这个方法 的操 作面 临着 资 源不 断 减少 的情况 ,这 样 就会 导致 攻 击 目标 的 服务 不是 很 准确 。 另一 种是 给 每一 个请 求连 接 的 I P地 址分 配一 个 C o o k i e . 器系统出现崩溃的情况 , 使得用户无法使用网络服务。S N Y F L O O D 如 果短 时 间 内连 续 受 到某 个 I P的重 复 S Y N包 ,就认 定 是受 到 了攻 就 是 拒绝 服务 攻 击 和分 布式 拒 绝服 务攻 击 的 重要 方式 之 一 ,如果 攻 击 , 以后从 这 个 I P地址 来 的包会 被 丢弃 。由于 S Y N包 的源 I P地址 可 击 的目标是支持 T C P应用的,那么这种攻击方式就可以对攻击 目标 以随意伪 造 , S Y N F I o o d 攻 击 可 以很容 易规 避 S Y N C o o k i e 检测。 的所 有 网络 连 接进 行 攻 击 ,同时 使 用户 无 法 正 常 进行 网络 的访 问 , 3 . 2 牛顿 均差 插值 检测 法 S N Y F L O O D攻 击 的原 理就 是利 用 T C P协 议在 建 立 连接 的时候 三次 插值法利用函数 f ( x ) 在某区间中若干点的函数值 , 作出适当的特 握 手 的缺 陷 , 同 时利 用 I P的欺骗 技 术 。为 了更 好 的 解决 这 种攻 击 方 定函数 , 在这些点上取已知值 , 在 区间的其他点上用这特定函数 的值 式, 对S Y N F L O O D攻 击 进行 必要 的检测 是 非 常重 要 的 , 在 检测 方 面 作为 函数 f ( x ) 的近似值。如果这特定函数是多项式 , 就称它为插值多 人们已经在使用一些方法 的,同时在防御方法上人们也找到了一些 项式。利用插值基函数很容易得到拉格 朗日插值多项式 , 公式结构紧 措施 , 可以通过修改系统的配置 , 采用必要的防火墙或者 只允许合法 凑, 在理论分析中甚为方便 , 但当插值节点增减时全部插值基 函数均 的I P源在设备上进行使用 , 这样进行 网络连接 的时候才能避免 出现 要 随之 变化 ,整 个公 式 也将 发生 变 化 ,这在 实 际计算 中是很 不 方便 的, 为了克服这一缺点 , 提出了牛顿插值 。 I P欺骗 的情 况 。 1 T C P三次 握手 4攻 击 防御 只 要服 务器 提供 T C P 应用 , 攻 击 者就 可 以进行 S Y N F l o o d攻击 , T C P 是传输控制协议 的简称 , 它是一种传输层协议 , 在使用 的时 候 主要 是进 行 面 向连 接 。面 向连 接是 一 种数 据 在传 输 的时 候建 立起 而且 S Y N F l o o d 攻 击 一般很 难 以防 御和追 踪 , 现介绍 几 种防 御办 法 。 来 的虚 电路 连 接 ,在 进行 连接 的时候 主要 是 对 客户 端 和服 务器 之 间 4 . 1修改 系统 配 置 进行 连 接 。 这个 连 接 的过程 通常 被人 们称 作 为 T C P的 三次握 手 。 T C P 我们 可 以修 改系统 支持 的最 大 T C P 连 接数 以及 通过 负 载均衡 等 的第 一 次握 手 是客 户 端 向服 务器 发 送 S Y N包 , 并且 要 在 系统 缓 存 中 来 提 高 防御 S Y N F l o o d 攻击 能力 。 开辟~个空间来对服务器 的请求进行处理,这时候连接 的状态表现 4 . 2采用 防火 墙 为S Y N 的发送 状 态 。T C P的第二 次握 手是 服务 器 收到 S Y N包 之后 , 防火墙通常用于保护内部网络不受外部网络 的非授权访 问, 它 对 客户 发送 的 S Y N包 进行 确认 ,然后 向客户 端发 送 S Y N + A C K包 这 位于 客户 端 和服 务器 之 间 。 由于防火 墙 所能 处理 的半 开 连接 数 远大 时在系统的缓存区域同时也是要开辟一块空间对客户端 的请求进行 于服 务 器所 能 处 理 的半 开 连 接 数 以及 根 据 S Y N F l o o d攻击 特 性 , 因 D O S 攻击 有效 地保 护 内部 的服 务器 。 处理, 这 时 的连 接状 态 是 S Y N 的接 收状 态 。T C P的第 三 次握 手 是客 此 防火 墙 可 以用 来 阻止 D 户端 收 到服务 器 发送 的 S Y N + A C K包 ,然后 将 A C K包重 新 发送 给服 4 . 3边缘路由设备只允许合法源 I P进入网络 务器, 服务 器 收到 A C K包 以后 , 客户 端 和服 务器 的连接 就 完 成 了 , 三 通 过在 边 界 路 由设 备 上 配 置访 问控 制 列表 只 允 许合 法 源 I P地 这样会大大过滤掉 S Y N F l o o d 攻击流量. 即使部分利 次握手也就完成了, 这时客户端和服务器就可以进行数据 的传输了。 址才能访问网络. 2 S Y N F L O O D攻击 原理 用 合法 源 I P地址 进行 的攻 击 . 也 非 常容 易被 追踪 。 这是 目前解 决互 联 网S Y N F l o o d攻击 最有 效 的办法 。 2 . 1 T C P 握 手 缺陷 5结束 语 T C P的第二次握手时 ,服务器在收到客户端发送的 S Y N 包以 后, 要在系统的缓存中对客户的请求进行处理, 同时服务器要向客户 为了更好的对 S Y N F L O O D 攻击原理进行掌握 ,同时对传统 的 进 而 找 到更 加准 确 的检 测方 法 , 在检 测方 法 端发 送 S Y N + A C K包 , 在没 有 S Y N F L O O D 攻 击 的 情况 下 , 也 可 能会 攻 击检 测方 法 进行 分 析 , 出现 因为 网络 的原 因 导致 服务 器 在一 定 的 时间 内无 法 收 到 A C K包 , 进行分析的时候对防御 的方法也能进行必要的分析。S Y N F L O O D 在 收到 S Y N F L O O D 攻 击 以后 ,服 务 器会 不 断 的进 行 S Y N + A C K包 攻击方式是与其他攻击方式不 同的攻击 , 在进行攻击的时候 , 不需要 的传 输 , 这样 就 会 导致 缓存 不 断要 进行 空 间 的预 留 , 进 而 出 现系 统缓 使用木马等程序就能对攻击 目标进行攻击,只是需要攻击 目标在使 C P服务 即可 。现 在 , 网络应 用规 模越 来越 大 , 为 了更 好 的利用 网 存不 断 释放 的情 况 , 这时的 S Y N F L O O D 攻 击 就是 利用 的 T C P 握手 用 T 络, 一定要提高网络的使用安全 , 拒绝服务攻击 的危害越来越严重 , 时 出现 的缺 陷 。 需 要提 高全 网用户 的 网络 安全 防 护意 识 和技 术水 平 以及 需要 网络 服 2 . 2 I P欺 骗 在网络 中, 路由设备要根据数据包 的目标 I P地址进行数据包 的 务提供商和用户进行共 同防御 。拒绝服务攻击将仍是我们必须重点 传输 , 使数据包传输到 目的端 , 在这个过程 中, 对源 I P地址是不会进 防范和 研究 的 网络安 全 的威 胁 之 一 。 参 考文 献 行检查的, 这样也就为 S Y N F L O O D 的攻击提供了一个便利的条件。 S Y N F L O O D 进行 攻 击 的 时候 ,可 以对 源 I P 的地 址 进行 随意 的伪 [ 1 ] 胡伟栋, 汪为农. 分布式拒绝服务攻击及其防范叨. 计算机工程 , 2 0 0 0 造 ,使 源 I P地 址在 进行 追 踪 的时候 非常 难进 行 ,尽 管 S Y N F L O O D ( 1 0 ) . 可 以通过 这种 方 式来 进行 攻击 , 同 时也可 以找到 防御 的方 法 。 [ 2 1 - ¥卫. I n t e r n e t 网络层 安全 协议 理论 研 究 与 实现 叨. 计 算机 学报 , 1 9 9 9
TCP协议中的SYN攻击与防范措施(四)
SYN攻击与防范措施:网络世界的隐患与挑战网络安全问题是互联网发展过程中不可忽视的重要议题之一。
在众多的网络攻击手段中,SYN攻击一直以来都是危害严重且普遍存在的一种攻击方式。
本文将深入探讨SYN攻击的原理与影响,并提出针对性的防范措施,以帮助网络安全相关人员更好地应对这一挑战。
一、SYN攻击的原理SYN攻击(SYN Flood)是一种利用TCP协议中的漏洞进行的拒绝服务攻击(Denial of Service,DoS)。
攻击者通过请求连接来占用服务器资源,以达到阻塞正常用户连接的目的。
具体而言,SYN攻击是通过发送大量伪造的TCP连接请求(SYN包)来迷惑服务器,使其一直处于半连接状态,无法建立真正的连接。
攻击者通常会使用大量的IP地址和源端口号来混淆服务器,从而增加攻击的隐蔽性。
二、SYN攻击的影响SYN攻击对网络造成的影响是不可忽视的。
首先,它会耗尽服务器的资源,使其无法响应正常用户的请求,导致服务不可用。
其次,SYN攻击还可能导致网络拥塞,降低整个网络的带宽和传输速度。
更为严重的是,一些关键的网络设备(如防火墙)可能会因为处理SYN攻击而奔溃,从而给整个网络架构带来灾难性的后果。
三、防范SYN攻击的措施面对日益猖獗的SYN攻击,网络安全专家们提出了多种有效的防范措施:1. 增加系统资源SYN攻击利用了服务器资源的有限性,因此增加系统资源是一个最直接也最简单的方法。
通过提高服务器的处理能力和连接数目限制,可以减轻SYN攻击对服务器的影响。
2. 设置SYN CookieSYN Cookie是一种防御SYN攻击的方法。
通过在服务器端设置SYN Cookie,当服务器接收到一个SYN请求后,会将相关信息(如序列号等)保存在一个临时Cookie中。
只有在客户端回应ACK时,服务器才会验证该Cookie是否正确,并建立连接。
这种方式可以提高服务器抵御SYN攻击的能力。
3. 使用防火墙和入侵检测系统防火墙和入侵检测系统(IDS)能够识别并拦截大量的SYN请求。
SYN Flooding网络攻击的原理、检测及防御技术
SYN Flooding网络攻击的原理、检测及防御技术赵开新;李晓月【摘要】首先介绍了SYN Flooding攻击原理,接着分析了SYN Flooding攻击的检测方法,并提出了几种防御SYN Flooding攻击的措施,最后综合应用几种SYN Flooding防御方法,设计了一个降低网络服务器被SYN Flooding攻击可能性的实例.【期刊名称】《河南机电高等专科学校学报》【年(卷),期】2010(018)003【总页数】3页(P45-46,112)【关键词】DDoS;防火墙;SYN网关;SYN代理【作者】赵开新;李晓月【作者单位】河南机电高等专科学校,计算机科学与技术系,河南,新乡,453002;河南机电高等专科学校,计算机科学与技术系,河南,新乡,453002【正文语种】中文【中图分类】TP309.2随着Internet的迅速发展和普及,给人们带来方便的同时也带来了严峻的网络安全问题,网络上充满了泛洪攻击,尤其是DoS(Denial of Service Attack),即拒绝服务攻击,这种攻击的目的是使被攻击的主机、服务器等网络设备无法提供正常的服务,而近年来在DoS技术基础上发展起来的DDoS(Distributed Denial ofService),即分布式拒绝服务攻击,更使被攻击者防不胜防,目前DDos攻击中最常见的攻击方式是TCP SYN泛洪攻击。
1 SYN Flooding攻击原理SYN Flooding利用了TCP/IP协议固有的漏洞,实施对网络中的客户机、服务器进行攻击,它的攻击原理是通过伪造一个SYN报文向服务器发起连接,其源地址是伪造的或者是一个不存在的地址,服务器接收到报文后发送SYN ACK报文应答,由于攻击报文的源地址不可达,因此应答报文发出后,不会收到ACK报文,造成一个半开连接,如果攻击者发送大量的报文,会在被攻击主机上出现大量的半开连接,从而消耗其系统资源,使正常的用户无法访问。
dos攻击的实现方法
dos攻击的实现方法DOS(Denial of Service)攻击是一种通过消耗目标系统的资源,使其无法正常提供服务的攻击方式。
DOS攻击可以通过多种不同的方法实现。
下面将介绍一些常见的DOS攻击实现方法。
1. SYN Flood攻击:SYN Flood攻击是一种利用TCP三次握手过程中的漏洞进行攻击的方法。
攻击者向目标系统发送大量的TCP连接请求的SYN包,但是不发送确认包,从而导致目标系统资源耗尽。
当目标系统无法处理更多的连接请求时,合法用户将无法正常访问。
2. UDP Flood攻击:UDP Flood攻击利用UDP协议的无连接特性,向目标系统发送大量的UDP数据包。
由于UDP协议不需要建立连接,攻击者可以轻松伪造源IP地址,使得目标系统无法正确处理这些伪造的数据包,从而导致系统资源耗尽。
3. ICMP Flood攻击:ICMP Flood攻击是通过发送大量的ICMP(Internet Control Message Protocol)请求消息到目标系统,从而使目标系统资源耗尽。
攻击者可以发送大量的ping请求,或者伪造其他类型的ICMP请求,使得目标系统无法正常响应。
4. HTTP Flood攻击:HTTP Flood攻击是通过发送大量的HTTP请求到目标网站,从而消耗目标网站的带宽和服务器资源。
攻击者可以使用多个代理服务器或僵尸网络来发动攻击,使得目标网站无法正常提供服务。
5. Slowloris攻击:Slowloris攻击是一种利用HTTP协议的漏洞进行攻击的方法。
攻击者使用少量的连接占用目标服务器的连接队列,并发送不完整的HTTP请求,从而使得目标服务器一直等待请求完成,最终导致目标服务器无法处理其他用户的请求。
6. DNS Amplification攻击:DNS Amplification攻击是通过伪造源IP地址,向DNS服务器发送大量的DNS查询请求,使得DNS服务器返回大量的响应数据,从而对目标系统进行DOS攻击。
防flood类攻击设置参数
防flood类攻击设置参数【原创实用版】目录1.防 flood 类攻击的重要性2.flood 类攻击的定义和种类3.如何设置防 flood 类攻击的参数4.设置防 flood 类攻击参数的实际应用5.总结正文【1.防 flood 类攻击的重要性】在网络世界中,安全一直是一个备受关注的话题。
随着网络技术的不断发展,网络攻击手段也日益翻新。
其中,flood 类攻击是一种常见的恶意攻击方式,对网络安全造成了严重威胁。
因此,防止 flood 类攻击显得尤为重要。
【2.flood 类攻击的定义和种类】flood 类攻击,顾名思义,是指攻击者通过向目标发送大量数据包,使得目标系统无法正常处理正常流量,从而造成拒绝服务(DoS)或拒绝访问(DoA)的攻击手段。
常见的 flood 类攻击包括:ICMP Flood、UDP Flood、TCP Flood、SYN Flood 等。
【3.如何设置防 flood 类攻击的参数】为了有效防止 flood 类攻击,我们需要设置一些相应的参数。
具体操作如下:(1)设置防火墙规则:通过防火墙,我们可以对进出网络的数据包进行控制。
针对 flood 类攻击,我们需要设置允许或拒绝某些特定类型的数据包。
例如,可以限制 ICMP、UDP 等特定协议的数据包进出网络。
(2)配置入侵检测系统(IDS):IDS 可以实时监控网络中的数据包,一旦发现异常流量,可以立即报警并采取措施进行处理。
因此,我们需要对 IDS 进行配置,以便它能够识别并防范 flood 类攻击。
(3)启用流量控制:通过流量控制,我们可以限制单位时间内通过网络的数据量。
这样一来,即使遭受 flood 类攻击,也能够保证网络中的正常流量不会受到影响。
(4)合理设置路由策略:针对 flood 类攻击,我们还可以通过设置路由策略来进行防范。
例如,可以设置路由器的出口接口的最大速率,限制数据包的发送速度。
【4.设置防 flood 类攻击参数的实际应用】在实际应用中,我们需要根据网络的实际情况和需求,灵活设置防flood 类攻击的参数。
SYN代理防御syn-flood攻击的原理及实现
2 C 连接的建立过程 T P
为了描述方便,把请求建立 T P连接的一端称为 C 客户端 ,把接受请求 的那一端称为服务器。T P连接 C 建立之前需要进 行一个称为三 次握手 的过程,图 1显 示了这个过程和相关状态的变化 : T P首部中含有 6个 比特 的控制标志L,其 中跟 C 1 】 三 次握手有关的是 S N和 A K这 两个标志 。客户端 Y C 向服务器发送一个 S N标志设置为 1 Y 的数据包 , 客户 端进入 S N E D状态 ,服 务器收到这个 S N标 志 Y SN Y 设置为 1的数据包后进入 S N R V 状态 ,这一步 Y C D
Ab t a t s n fo di o s r c : y - o sac mmo e il fs r iea a k I s st ec a a trsist a e ur str e wa a d h k l n d n a e vc t c . t e h h r ce itc h ti rq ie e - y h n s a e o u t h t sa ih TCP c n e t n t e d al g mb ro lg l rth n s a epa k tt h a g g la ig t sa ls oe tbl s o n c i os n a enu e fi e a s a d h k c e ot e t e e dn o e tb ih a o r l i f r
t e n t e tr t h a e a no sa i r l a S r s l g u e f TCP c n e t n o YN RCVD s t o h age.o t e t g t c n t e tbl h no ma TCP r a e n mb r o o n ci s f S o
SYNFlOOD攻击原理、检测及防御
SYNFlOOD攻击原理、检测及防御SYN LLOOD是现在比较常见的攻击方式,它可以利用TCP协议的缺陷来对TCP连接请求进行伪造,进而导致CPU在资源方面出现耗尽的情况,或者是导致CPU出现内存不足的情况。
在对SYN FLOOD攻击进行分析的时候可以从TCP三次握手和握手的时候出现的缺陷,同时在IP方面出现的欺骗进行分析,这样可以更好的对SYN FLOOD 进行分析,进而找到检测的方法和防御的方法。
标签:SYN Flood攻击;检测;防御拒绝服务攻击和分布式拒绝服务攻击是网络攻击方式中危害极大的攻击,和其他的网络攻击不同,拒绝服务攻击不是对攻击目标的系统和数据进行危害,而是对攻击目标的网络进行耗尽,同时对系统的操作面临着资源不断减少的情况,这样就会导致攻击目标的服务器系统出现崩溃的情况,使得用户无法使用网络服务。
SNY FLOOD就是拒绝服务攻击和分布式拒绝服务攻击的重要方式之一,如果攻击的目标是支持TCP应用的,那么这种攻击方式就可以对攻击目标的所有网络连接进行攻击,同时使用户无法正常进行网络的访问,SNY FLOOD攻击的原理就是利用TCP协议在建立连接的时候三次握手的缺陷,同时利用IP的欺骗技术。
为了更好的解决这种攻击方式,对SYN FLOOD攻击进行必要的检测是非常重要的,在检测方面人们已经在使用一些方法的,同时在防御方法上人们也找到了一些措施,可以通过修改系统的配置,采用必要的防火墙或者只允许合法的IP源在设备上进行使用,这样进行网络连接的时候才能避免出现IP欺骗的情况。
1 TCP三次握手TCP是传输控制协议的简称,它是一种传输层协议,在使用的时候主要是进行面向连接。
面向连接是一种数据在传输的时候建立起来的虚电路连接,在进行连接的时候主要是对客户端和服务器之间进行连接。
这个连接的过程通常被人们称作为TCP的三次握手。
TCP的第一次握手是客户端向服务器发送SYN包,并且要在系统缓存中开辟一个空间来对服务器的请求进行处理,这时候连接的状态表现为SYN 的发送状态。
Linux服务器防御DDOS攻击
CentOS SYN Flood攻击原理Linux下设置特别值得一提的是CentOS SYN有很多值得学习的地方,这里我们主要介绍CentOS SYN攻击,包括介绍CentOS SYN 原理等方面。
CentOS SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Handshake)过程进行的攻击。
一:什么是CentOS SYN Flood攻击CentOS SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Hands hake)过程进行的攻击。
这个协议规定,如果一端想向另一端发起TCP连接,它需要首先发送TCP SYN (synchronize)包到对方。
对方收到后发送一个TCP SYN+ACK包回来,发起方再发送TCP ACK (ACKnowled ge Character)包回去,这样三次握手就结束了。
在上述过程中,还有一些重要的概念。
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的CentOS SYN包(syn=j)开设一个条目,该条目表明服务器已收到CentOS SYN包,并向客户发出确认,正在等待客户的确认包。
这些条目所标识的连接在服务器处于CentOS SYN_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
或者说TCP服务器收到TCP SYN request包时。
在发送TCP SYN+ACK包回TCP客户机前,TCP服务器要先分配好一个数据区专门服务于这个即把形成的TCP连接。
一般把收到CentOS SYN包而还未收到ACK包时的连接状态成为半开连接(Half-open Connection)。
Backlog参数:表示未连接队列的最大容纳数目。
CentOS SYN -ACK 重传次数:服务器发送完CentOS SYN -ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 概述1.1 产生背景SYN Flood攻击是一种通过向目标服务器发送SYN报文,消耗其系统资源,削弱目标服务器的服务提供能力的行为。
一般情况下,SYN Flood攻击是在采用IP源地址欺骗行为的基础上,利用TCP连接建立时的三次握手过程形成的。
众所周知,一个TCP连接的建立需要双方进行三次握手,只有当三次握手都顺利完成之后,一个TCP连接才能成功建立。
当一个系统(称为客户端)请求与另一个提供服务的系统(称为服务器)建立一个TCP连接时,双方要进行以下消息交互:(1) 客户端向服务器发送一个SYN消息;(2) 如果服务器同意建立连接,则响应客户端一个对SYN消息的回应消息(SYN/ACK);(3) 客户端收到服务器的SYN/ACK以后,再向服务器发送一个ACK消息进行确认。
当服务器收到客户端的ACK消息以后,一个TCP的连接成功完成。
连接的建立过程如图1所示:图1 TCP连接的建立在上述过程中,当服务器收到SYN报文后,在发送SYN/ACK回应客户端之前,需要分配一个数据区记录这个未完成的TCP连接,这个数据区通常称为TCB资源,此时的TCP连接也称为半开连接。
这种半开连接仅在收到客户端响应报文或连接超时后才断开,而客户端在收到SYN/ACK报文之后才会分配TCB资源,因此这种不对称的资源分配模式会被攻击者所利用形成SYN Flood攻击。
图2 SYN Flood攻击原理图如图2所示,攻击者使用一个并不存在的源IP地址向目标服务器发起连接,该服务器回应SYN/ACK消息作为响应,由于应答消息的目的地址并不是攻击者的实际地址,所以这个地址将无法对服务器进行响应。
因此,TCP握手的最后一个步骤将永远不可能发生,该连接就一直处于半开状态直到连接超时后被删除。
如果攻击者用快于服务器TCP连接超时的速度,连续对目标服务器开放的端口发送SYN报文,服务器的所有TCB资源都将被消耗,以至于不能再接受其他客户端的正常连接请求。
为保证服务器能够正常提供基于TCP协议的业务,防火墙必须能够利用有效的技术瓦解以及主动防御SYN Flood攻击。
1.2 技术优点H3C在SYN Flood 攻击防范技术的实现上具有以下四个方面的特色。
1. 支持基于安全区域的配置方式H3C实现的SYN Flood攻击防范支持基于安全区域的配置方式,所有攻击检测策略均配置在安全区域上,配置简洁又不失灵活性,既降低网络管理员配置负担,又能满足复杂组网情况下针对安全区域实施不同攻击防范策略的要求。
2. 提供丰富的告警日志信息H3C实现的SYN Flood攻击防范功能可提供丰富的告警日志信息,可以与第三方软件配合使用,其日志和审计功能不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
3. 精确阻断攻击流量H3C实现的SYN Flood攻击防范功能采用基于行为模式的异常检测算法对目标服务器的网络流量进行检测,通过实时跟踪TCP服务器连接的状态机协商过程,能够有效区分攻击流量和正常流量,从而精确阻断攻击流量。
4. 提供灵活的防范措施针对SYN Flood攻击,H3C防火墙提供了灵活的防范措施,可根据用户的实际需要,选择对攻击行为进行日志输出、报文丢弃、启用SYN Cookie防护功能、启用Safe Reset防护功能、通知服务器释放无效半开连接等防范动作。
2 技术实现在Internet上,公共服务器是SYN Flood攻击实施的主要对象。
Internet上任何客户端向某个特定的公共服务器发起访问时,其目的IP地址必定是公共服务器对外公开的IP地址。
H3C防火墙通过攻击检测技术,统计和分析向公共服务器发起的所有连接的行为特征,来检测和识别攻击报文。
在检测到针对服务器的SYN Flood攻击行为后,H3C防火墙可以支持选择多种应对攻击的防范措施,主要包括两大类:●∙∙∙∙∙∙∙∙∙∙∙∙∙ 连接限制技术:采用SYN Flood攻击防范检测技术,对网络中的新建TCP半开连接数和新建TCP连接速率进行实时检测,通过设置检测阈值来有效地发现攻击流量,然后通过阻断新建连接或释放无效连接来抵御SYN Flood攻击。
●∙∙∙∙∙∙∙∙∙∙∙∙∙ 连接代理技术:采用SYN Cookie或Safe Reset技术对网络中的TCP连接进行代理,通过精确的验证来准确的发现攻击报文,实现为服务器过滤掉恶意连接报文的同时保证常规业务的正常运行。
连接代理技术除了可以对已检测到攻击的服务器进行代理防范,也可以对可能的攻击对象事先配置,做到全部流量代理,而非攻击发生后再代理,这样可以避免攻击报文已经造成一定损失。
2.1 SYN Flood攻击检测技术根据统计对象的不同特征,SYN Flood攻击检测可分为两种类型:半开连接数检测、新建连接速率检测。
2.1.1 半开连接数检测1. 原理介绍当恶意客户端向目标服务器发起SYN Flood 攻击时,如果恶意客户端采用了仿冒的源IP,那么在目标服务器上会存在大量半开连接。
这类半开连接与正常的半开连接的区别在于,正常半开连接会随着客户端和服务器端握手报文的交互完成而转变成全连接,而仿冒源IP的半开连接永远不会完成握手报文的交互。
为有效区分仿冒半开连接和正常半开连接,防火墙就需要实时记录所有客户端向服务器发起的所有半开连接数和完成了握手交互且转变为全连接的半开连接数,二者之差(即未完成的半连接数)在服务器未受到攻击时会保持在一个相对恒定的范围内。
如果未完成的半连接数突然增多,甚至接近服务器的资源分配上限时就可以怀疑此时服务器正受到异常流量的攻击。
图3 半开连接数检测示意图如图3所示,管理员可以根据被保护服务器的处理能力设置半开连接数阈值。
如果服务器无法处理客户端所有连接请求,就会导致未完成的半开连接数(即客户端向服务器发起的所有半开连接数和完成了握手交互变成全连接的半开连接数之差)超过指定阈值,此时防火墙可以判定服务器正在遭受SYN Flood 攻击。
2. 应用限制半开连接数统计要求防火墙能够记录客户端到服务器端的所有连接状态。
即,客户端和服务器端的报文都需要经过防火墙处理。
因此,基于半开连接数的统计检测需要防火墙部署在所保护的服务器出口和入口的关键路径上。
2.1.2 新建连接速率检测1. 原理介绍当恶意客户端向目标服务器发起SYN Flood攻击时,不管恶意客户端采用仿冒源IP手段还是使用真实的客户端,其呈现的结果就是发往服务器的报文会在短时间内大量增加。
恶意客户端发向服务器的报文中,一部分是新建连接的报文,一部分是已建立连接的后续数据报文。
H3C防火墙通过记录每秒新建连接的数量,并与设定的阈值进行比较来判断向目标服务器发起SYN Flood攻击行为是否发生,若达到或超过,则认为攻击行为发生。
图4 新建连接速率检测示意图如图4所示,在对被保护服务器进行监测时,防火墙在一秒的时间间隔内统计客户端向服务器发起的新建连接请求数量,作为当前的新建请求速率。
当新建连接请求速率超过指定阈值时,防火墙设备可以认为服务器可能遭受了SYN Flood攻击。
2. 应用限制新建连接数统计要求防火墙能够记录客户端到服务器端的所有新建连接个数。
即,客户端发往服务器端的报文必须要经过防火墙处理。
因此,基于新建连接数的统计检测需要防火墙部署在所保护的服务器入口的关键路径上。
2.2 SYN Flood攻击防范技术H3C防火墙可以支持选择多种应对攻击的防范措施,主要包括以下四种技术:●∙∙∙∙∙∙∙∙∙∙∙∙∙ 阻断新建连接——通过随时阻断服务器处理能力之外的新建连接来减轻服务器的被攻击程度。
●∙∙∙∙∙∙∙∙∙∙∙∙∙ 释放无效连接——通过在攻击发生后通知服务器释放无效连接来协助服务器及时恢复服务能力。
●∙∙∙∙∙∙∙∙∙∙∙∙∙ SYN Cookie和Safe Reset——通过验证发起连接的客户端的合法性,使服务器免受SYN Flood攻击。
这两种技术适用于不同的组网需求。
2.2.1 阻断新建连接1. 原理介绍实际上,最简单的防范方法就是暂时阻止任何客户端向服务器发起的新建连接请求。
阻断新建连接的时机是由SYN Flood攻击检测发现攻击决定的,只要防火墙发现连接数阈值(半开连接数阈值、新建连接数阈值)被超过时,就开始阻断新建连接来防范攻击行为。
关于SYN Flood攻击检测技术的详细介绍请参见“2.1 SYN Flood攻击检测技术”。
下面是分别通过两种检测技术发现攻击后的连接阻断处理过程。
●∙∙∙∙∙∙∙∙∙∙∙∙∙ 半开连接数限制如图5所示,防火墙检测到客户端与服务器之间的当前半开连接数目超过半开连接数阈值时,所有后续的新建连接请求报文都会被丢弃,直到服务器完成当前的半开连接处理,或当前的半开连接数降低到安全阈值时,防火墙才会放开限制,重新允许客户端向服务器发起新建连接请求。
图5 半开连接数限制示意图新建连接数限制如图6所示,防火墙对新建连接报文的速率进行统计,只允许新建连接速率不超过阈值情况下的新建连接报文通过,超过阈值之后的新建连接报文都被丢弃。
直到每秒客户端向服务器发起的连接请求降低到安全阈值以下时,防火墙才会放开限制,重新允许客户端向服务器发起新建连接请求。
图6 新建连接速率限制示意图2. 应用限制阻断新建连接功能为防火墙检测到SYN Flood攻击后的基本处理手段。
在服务器受到SYN Flood攻击时,防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。
因此,该功能一般用于配合防火墙SYN Flood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。
2.2.2 释放无效连接1. 原理介绍正如2.1.1 半开连接数检测中所描述,当服务器上的半开连接过多时,其正在处理的半开连接中可能存在恶意客户端仿冒源IP发起的无效连接。
为了不让仿冒源IP发起的无效连接占用服务器的资源,防火墙需要在所有半开连接中识别出无效连接,通知服务器释放这这些无效连接。
防火墙通过模拟无效连接的五元组信息(源IP地址、目的IP地址、源端口号、目的端口号、协议类型),向服务器发送RST报文(连接重置报文)通知服务器释放无效连接。
2. 应用限制释放无效连接功能是一种防火墙检测到攻击后的基本处理手段,在服务器受到SYN Flood 攻击的情况下,能够通知服务器释放被恶意攻击报文占用的资源,使服务器得以恢复正常服务。
在服务器受到SYN Flood攻击时,此功能主要用于加速被攻击服务器的恢复速度,却无法阻止恶意客户端继续攻击服务器。
因此,该功能一般用于配合防火墙SYN Flood检测,在攻击发生后减轻已发生的攻击对服务器的影响。