Ｓｙｎ　Ｆｌｏｏｄ　攻击实例及安全防范.docVIP

Ｓｙｎ　Ｆｌｏｏｄ　攻击实例及安全防范 　　摘要：随着网络技术的发展，网络安全问题也日趋严重，作为典型的DDOS攻击方式，SYN Flood攻击因为其隐蔽性和高效性颇受攻击者青睐，更为严重的是，现在尚无完全令人满意的防护手段，单一的防范手段往往达不到安全防范的效果；文章以典型攻击为案例，在系统分析现有的常规防御技术手段的基础上，结合相关安全管理策略，设计了一套涉及预防、监控/识别、安全加固调整和恢复等关键环节的综合安全解决方案；实际运行表明，按照本方案防护的系统在攻击实施时仍然能够提供正常的服务。 　　关键词：分布式拒绝服务；SYN Flood；退让策略；防火墙；负载均衡 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)09-11588-03 　　 　　1 引言 　　 　　由于使用复杂的欺骗技术和基本协议，而不是采用可被阻断的非基本协议或高端口协议，分布式拒绝服务(Distributed Denial of Service，DDoS)攻击非常难识别和防御，而在拒绝服务攻击里，又以SYN Flood攻击最为有名，俗称洪水攻击。SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。SYN Flood由于其攻击效果好，防御手段还不够完善，迄今为止，还没有什么好方法能够从根本上预防拒绝服务攻击行为的发生，因此需要制定完善的应急措施，对已发生的拒绝服务攻击行为进行发现、告警、识别、消除影响以及追踪攻击来源。此外，现在的DDoS防御系统普遍“重技术，轻管理”，大多仍局限于单一的技术手段，缺乏系统综合防御的思想，对安全管理和流程层面关注不够。 　　 　　2 攻击实例 　　 　　2006年8月某市政府外网Web服务器连续多次遭到DDoS攻击。第一次，网络维护人员发现访问速度很慢，检查发现外网防火墙丢包现象非常严重，在防火墙上抓包分析，发现有大量的随机IP地址对该主机发送了大量协议为255，长度固定的攻击包。防火墙在1分钟时间收到了110万个包，造成外网口堵塞，以致于用户对网站的正常访问受到极大影响。同时，其它需要通过防火墙的业务也受到了影响。由于大量攻击包到达了防火墙的外网口，只能在骨干路由器上对主要IP进行了封堵。封堵以后，网络状况暂恢复正常。同样的情况出现了多次，维护人员采取都是通过在骨干网设备上进行地址限制来恢复。 　　攻击数据包传输路径如图1所示，Web服务是1台PC服务器，操作系统为LINUX。在服务器上通过netstat工具可以看到： 　　# netstat -n -p TCP 　　tcp0 0 0:23224.103. 52.8:25833 SYN_RECV - 　　tcp0 0 0:2304:2588 SYN_RECV- 　　tcp0 0 0:2329:51008 SYN_RECV- 　　tcp0 0 0:235:37396 SYN_RECV- 　　tcp0 0 0:238:8427 SYN_RECV- 　　tcp0 0 0:238:228 SYN_RECV- 　　tcp0 0 0:2316:5122 SYN_RECV- 　　tcp0 0 0:2302:4916 SYN_RECV- 　　…… 　　 　　在服务器上看到大量的SYN_RECV半连接状态，而且大量源IP地址是随机的，表明这是一种典型的带有IP欺骗的Syn flood攻击。其中SYN_RCVD表示当前未完成的TCP SYN队列，统计一下，发现共有10265个Syn的半连接存储在内存中。这时候被攻击的WEB服务器已经不能响应新的服务请求了，系统运行非常慢，也无法ping通，此时在骨干网设备上单纯的进行地址限制，已经无法起到攻击防范的作用，最终这几次攻击导致了网站服务的中止，通过该案例可见Syn flood攻击的危害性。 　　3 Syn flood攻击原理分析 　　SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开