SYN洪水攻擊原理

墨者安全發表於2019-08-19


SYN Flood 或稱 SYN洪水、SYN洪泛是一種阻斷服務攻擊,起因於攻擊者傳送一系列的SYN請求到目標系統。

使用者和伺服器之間的正常連線,正確執行 。

三次握手

當客戶端嘗試與伺服器建立TCP連線時,客戶端和伺服器在正常情況下交換一組資訊,如下所示:
1.客戶端將SYN同步資訊傳送到伺服器並請求連線設定。
2.伺服器響應客戶端SYN-ACK響應請求。
3.客戶端承諾ACK並建立連線。
這是在所謂的TCP 3次握手中使用TCP傳輸協議的每個連線的基礎。

水槽洪水。攻擊者傳送許多資料包,但不向伺服器傳送“ACK”。因此,連線半開,吞下伺服器資源。由於阻止服務攻擊,合法使用者嘗試連線到伺服器但被拒絕。

SYN Flood是一種眾所周知的攻擊,在現代網路中通常無效。這種型別的攻擊僅在伺服器收到SYN後才分配資源,但在本節中,它會在收到ACK之前生效。

目前有兩種SYN Flood攻擊方式,但它與所有伺服器都沒有收到ACK的事實有關。惡意使用者無法接收ACK,因為伺服器向假IP地址傳送SYN-ACK,跳過最後一條ACK訊息或模擬SYN的源IP地址。在這兩種情況下,伺服器都需要時間來複制通知,這可能會導致簡單的網路擁塞而無需ACK。

<1111a href= target=_blank class=infotextkey>DDoS攻擊<1111/a>


如果這些半開放連線繫結伺服器資源,則伺服器可以向伺服器排出大量SYN資訊。如果為半開連線保留所有資源,則會阻止服務攻擊,因為無法設定新連線(無論合法)。其他作業系統功能可能需要這種形式的資源,即使在某些系統上,即使停機也可能非常嚴重。

1996年用於分配半開放連線資源的技術通常包括相當短的佇列(例如,8個空座位)。當連線完成或過期時(例如,3分鐘後),您可以開啟佇列間隔。如果佇列已滿,則新的傳入連線將失敗。在上面的示例中,在傳送總共8個資料包之前,所有新的傳入連線都被阻止。這意味著每3分鐘計算8個資料包,並阻止所有新的TCP連線。此阻止服務僅攻擊少量流量。

建議的措施包括SYN cookie和限制在特定時間段內從同一源請求的新連線數,但最新的TCP / IP堆疊沒有上面提到的瓶頸因為它位於SYN Flood和其他基於通道的容量之間。攻擊型別應該很少或沒有區別。 


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69925937/viewspace-2654165/,如需轉載,請註明出處,否則將追究法律責任。

相關文章