- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
TCP SYN Flood网络攻击技术及防御
内容摘要
拒绝服务攻击(Denial of Service,DoS)是目前比较有效而又非常难于防御的一种网络攻击方式,它的目的就是使服务器不能够为正常访问的用户提供服务。SYN Flood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的资源,从而不能够为正常
由此可以看到,这种攻击方式利用了现有TCP/IP协议本身的薄弱环节,而且攻击者可以通过IP伪装有效的隐蔽自己。但对于目的主机来说,由于无法判断攻击的真正来源。而不能采取有效的防御措施。
根据以上内容,我们大致可以推断出SYN Flood攻击具有如下特点:
①TCP SYN FIOOd 攻击只是让服务器不能接受客户端的请求,不能建立新的TCP 连接,它不会对服务端的文件、数据等造成损害;
②黑客主要是利用了TCP 连接中的三次握手的缺陷而进行TCP SYN FIOOd 攻击的;
③TCP SYN FIOOd 攻击时,攻击方只要发送少量的很小的攻击数据包,服务器端就有可能因攻击而停止服务;
④TCP SYN FIOOd 攻击时,攻击方的来源IP 的判断是很困难的;
⑤服务端受到TCP SYN FIOOd 攻击时,因为无法区分哪些数据包是合法的,哪些是非法的,因而想要对TCP SYN FIOOd 攻击采取合适的防范措施是很困难的。
防御SYN Flood的方法
SYN Flood攻击给互联网造成重大影响后.针对如何防御SYN Flood攻击出现了几种比较有效的技术.以下两种技术是目前所有的防御SYN Hood攻击的最为成熟和可行的技术.
2.1 SYN-cookie技术
SYN-cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时.不分配一个专门的数据区.而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时。TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法。再分配专门的数据区进行处理未来的TCP连接。
该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配,使SYN Flood攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息,使攻击者不能伪造cookie。
由于这部分内容与密码学交叉幅度较大,这里不做细致讨论。正如我之前说的,下面我将重点阐述地址状态监控技术。
2.2 地址状态监控
地址状态监控是利用监控工具对网络中的有关TCP连接的数据包进行监控。并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。每个源地址都有一个状态与之对应,总共有四种状态:
初态:任何源地址刚开始的状态;
NEW状态:第一次出现或出现多次也不能断定存在的源地址的状态;
GOOD状态:断定存在的源地址所处的状态;
BAD状态:源地址不存在或不可达时所处的状态。
具体的动作和状态转换根据代P头中的位码值决定:
1)监听到SYN包.如果源地址是第一次出现。则置该源地
址的状态为NEW状态;如果是NEW状态或BAD状态;则将该
包被直接丢弃.如果是G00D状态不作任何处理。
2)监听到ACK或RST包.如果源地址的状态为NEW状
态。则转为GOOD状态;如果是GOOD状态则不变;如果是BAD
状态则转为NEW状态。
3)监听到从服务器来的SYN ACK报文(目的地址为addr),表明服务器已经为从addr发来的连接请求建立了一个半连接。为防止建立的半连接过多j向服务器发送一个ACK包,建立连接,同时,开始计时,如果超时,还未收到ACK报文.证明addr不可达,如果此时addr的状态为GOOD则转为NEW状态;如果addr的状态为NEW状态则转为BAD状态:如果为addr的状态为BAD状态则不变。状态转换图如下:
接下来分析一下基于地址状态监控的方法如何能够防御SYN Flood攻击。
1)对于一个伪造源地址的SYN报文。若源地址第一次出现,则源地址的状态为NEW状态。当监听到服务器的SYN+ACK报文.表明服务器已经为该源地址的连接请求建立了半连接。此时。监控程序代源地址发送一个ACK报文完成连接。这样,半连接队列中的半连接数不是很多。计时器开始计时,由于源地址是伪造的,所以不会收到ACK报文。超时后.监控程序发送RST数据包。服务器释放该连接.该源地址的状态转为BAD状态。之后
您可能关注的文档
最近下载
- 日语入门第一课(课件).ppt VIP
- 心内科进修汇报ppt.pptx
- 2014年10月自考《英语一》讲义-Unit-11-(含课文、生词表、课后练习及答案).doc VIP
- 7.2各民族谁也离不开谁教学设计.docx VIP
- 七年级生物上册 第二单元 第二章 第四节 单细胞生物教案课件 .ppt VIP
- 《条形统计图》教学设计.docx VIP
- 2014年10月自考《英语一》讲义-Unit-09-(含课文、生词表、课后练习及答案).doc VIP
- 部编版语文六年级上册夏天里的成长 第2课时-优课件.ppt VIP
- 浙江省台州市玉环市2023-2024学年六年级上学期期末科学试卷.docx VIP
- Python金融数据分析与应用课件 第5章 数据建模:有监督学习.pptx VIP
文档评论(0)