网络设备传输层安全防范原理研究及实现.pdfVIP

894 计算机技术与应用进展·2006 网络设备传输层安全防范原理研究及实现 杭波1陈先国2 1襄樊学院湖北省襄樊市441053 2华为技术有限公司上海市浦东新区200127 摘 要：本文首先介绍了TCP遭受SYN洪泛攻击的原理以及传统的防范手段及其铁陷，然后介 绍了两种最新抗攻击技术的原理，最后给出了融合两种技术的解决方案。 关冀词：TCPSYN洪泛抗攻击 1引言 随着通信网络与计算机网络的不断融合，现代计算机及通信网络已经越来越趋同于统一的基于IP的网 统计，在所有黑客攻击事件中，针对TCP协议的SYN攻击是最常见又最容易被利用的一种攻击手法。著 名网站YAHOO也未能幸免。网络设备在整个通信网络中处于通信子网内。各种网络设备构成了通信子网 的基本元素。因此，网络设备除了保护资源子网的安全和保障通信链路的高速畅通之外．其自身的安全防 范也成为一个重要的课题。本文介绍TCP遭受SYN攻击的基本原理，并全面探讨相关攻击防范技术。由 于TCP已经成网络设备主流传输层协议，因此本文讨论的TCP防范技术在网络设备传输层安全防范中也 具有广泛意义。 2TCP协议攻击原理 2．1TCP连接三次握手原理 在TCP／IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。如图1 客户端 服务器 初始连接 半连接 完全连接 完全连接 围1TCP连接原理 网络设备传输层安全防范原理研究及实现 8堕 器确认： (syn--k)，即SYN+ACK包，此时服务器进入SYN_RECV状态； 毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念； 未连接从列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包 (syn=j)开设一个条目，该条目表明服务器已收到SYN包。并向客户发出确认，正在等待客户的确认 包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目， 服务器进入ESTABLISHED状态。 Backlog参数：表示未连接队列的最大容纳数目。 等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数。系统 将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。 半连接存活时间：是指半连接队列的条目存蒲的最长时间，也郾服务从收到SYN包到确认这个报文 无效的最长时间，该时问值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为 Timeout时间、SYNRECV存活时间。 2．2SYN洪泛攻击 存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管 目标是什么系统，只要这些系统打开TCP服务就可以实施。服务器接收到连接请求(syn=j)，将此信息 客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SvN攻击 能达到很好的效果，通常，客户端在短时间内伪造大量不存在的口地址，向服务器不断地发送syn包，服 务器回复确认包．并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪 造的SYN包将长时间占用来连接队列。正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵 塞甚至系统瘫痪。 3传统解决方法及其局限性 针对SYN攻击