操作系统的SYN攻击保护机制的研究与比较.pdfVIP

2007年第4期 福建电脑 69 操作系统的SYN攻击保护机制的研究与比较 石淑华 (深圳职业技术学院计算机系广东深圳518055) 【摘要】：SYN攻击对操作系统的性能影响非常大，目前还有病毒也采用SYN攻击。所以针对sYN攻击的防御非常重 了二者的区别、各自的优势。 C00kie 【关键词】：SYN攻击；TcP／IP；SYN半连接；SYN 1．引言 送完SYN+ACK包，如果未收到客户确认包。服务器进行重传， SYN攻击是DoS攻击的一种攻击方式。尤其是针对操作系 默认重传5次，总超时时间需要3分钟。TCmP协议栈开辟了一 统的SYN攻击．利用受害主机提供的服务或传输协议上的缺个比较大的内存空间backlog队列来存储半连接条目．如果重传 陷。反复高速的发出特定的服务请求．使受害主机无法及时处理 次数超过系统规定的最大重传次数．系统才将该连接信息从半 所有正常请求。对操作系统CPU的利用率、对内存的影响非常连接队列中删除。当sYN请求不断增加。并占满了这个空间，致 大。严重时可以使得系统崩溃。 使系统丢弃后面的SYN连接。 现在这种攻击方式。不单纯的是黑客使用．从2004年开始 为防范Ⅲ攻击．w抽do帅系统的TcP，p协议栈内嵌了 就有病毒可对指定机器发动SYN攻击．造成其拒绝服务。通过 病毒的方式发动SYN攻击。影响面是非常大的．所以针对SYN 攻击的防御非常重要。 连接指示和减少超时时间，使系统能处理更多的SYN连接。以 2．SYN攻击分析 达到防范SYN攻击的目的。 2．1 SYN攻击原理 SYN攻击属于DOS攻击的一种。它利用’rCP协议缺陷，通 过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除是否遭受SYN攻击。 了能影响主机外，还可以危害路由器、防火墙等网络系统。事实 上SYN攻击并不管目标是什么系统．只要这些系统打开TCP服置是关键，太小影响正常的连接。过大就失去了保护的意义，在 务就可以实施。当服务器接收到连接请求SYN包时，将此信息保护机制没启动之前系统可能已经崩溃。假使某服务器的 加人未连接队列。并发送SYN+ACK响应包给客户，当服务器未 收到客户端的ACK确认包时，重发请求包。一直到超时，才将此 条目从未连接队列删除。配合IP欺骗．SYN攻击能达到很好的 效果。通常．客户端在短时间内伪造大量不存在的口地址。向服 理的最大半连接数，如果超过此值。系统认为正处于SYN攻击 务器不断地发送SYN包．服务器回复确认包。并等待客户的确中。 认，由于源地址是不存在的，服务器需要不断的重发直至超时， 这些伪造的sYN包将长时间占用未连接队列．正常的蚋Ⅸ请求过的半连接数。如果超过此值，系统自动启动跏逾ttackProoect 被丢弃．目标系统运行缓慢．严重者引起网络堵塞甚至系统瘫 痪。 量。 2．2SYN攻击保护机制 当系统的TcP，m连接的数值超过这三项中任何一项所设 针对服务器的SYN攻击防范技术。归纳起来，主要有两大置的阈值时．系统就认为受到了吼mF1∞d攻击．并开始启动保 类，一类是通过防火墙、路由器等过滤网关防护。另一类是操作 护机制中设置的其他选项：减短SYNTimeout时间、减少SYN+ 系统自身增加了对SYN攻击的保护机制．前者可以挡掉来自外ACK的重试次数、自动对缓冲区中的报文迸行延时等等措施。 网经过防火墙、路由器的攻击，但是对于来自内网的攻击无法防 力图将攻击危害减到最低。 御。后者可以在通过操作系统自身的保护机制．提高防御效果， 4．1in呱的SYN攻击保护机制 SYNC∞kie原理由D．J．Bemstaill和Eric 尤其对于保护服务器来说是一种行之有效的方法。但是不同的