ＳＹＮ拒绝服务攻击的检测及其防范研究.docVIP

ＳＹＮ拒绝服务攻击的检测及其防范研究 　　摘要：TCP/IP协议是目前使用最广泛的网络互连协议，但是由于TCP三次握手中不安全性，使得Internet具有先天性的不足。随着近几年Internet的迅猛发展，随之而来的网络安全事件开始频繁发生，各种攻击手段层出不穷。以SYN Flood为代表的DDoS攻击方式，是近年来出现的一种全新的极具破坏力的拒绝服务攻击方式。本文首先介绍了DoS的定义，目前的拒绝服务攻击的原理和特点，重点对SYN Flood攻击方法的检测和防范进行了分析。 　　关键词：TCP/IP协议；拒绝服务攻击；分布式拒绝服务攻击；SYN Flood 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)06-10ppp-0c 　　 　　1 研究背景 　　 　　Internet可以说是人类在二十世纪最伟大的成就之一，它在迅速发展的同时也在越来越深刻地影响着人们的生活。然而与其飞速发展相伴的是日益增长的对网上站点的安全威胁。许多统计数据都可以表明，当今网上“黑客”数量与安全相关的事件数的增长是相当惊人的。对网上众多的站点而言，在面临的诸多安全威胁中，网络远程攻击是最主要的方式。尤其是对于政府、商业、大学的重要站点，防范网络远程攻击更是一项经常性的任务。 　　 　　2 拒绝服务攻击 　　 　　拒绝服务攻击是多种网络攻击的其中一种，主要是通过消耗系统有限的不可恢复的资源从而使合法用户的服务性能降低或受到拒绝。它分拒绝服务DoS攻击和分布式拒绝服务DDoS攻击两大类，后者比前者更复杂，攻击更有效。拒绝服务攻击的工具和方法很多，并且不断地涌现。 　　DoS（Denial of Service）是一种特别的攻击方法，它不同与以往攻击方法，攻击目标和结果是使目标主机或网络不能提供正常的服务。攻击者不需要获得系统的帐户或管理员权限，不需要知道软件或系统的漏洞（bug），而且在现在的网络环境下，很难跟踪和发现攻击者，也没有有效的手段检测和防御，攻击方法简单，攻击效果明显。 　　分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是由DoS发展而来的。传统的DoS攻击是攻击者和被攻击者是一对一的关系，而DDoS是在分布式环境下，在一定时间内通过许多台机器向某一目标主机或网络发送过载的攻击包使系统失去反应，从而不能提供正常的服务。这种攻击被证实是非常有效的，而且难以检测和防御，是一种危害很大的攻击手段。以SYN Flood为代表的DDoS攻击方式已经对计算机网络的保密性、完整性、可用性提出来了严峻考验。 　　2.1 DoS概述 　　DoS攻击是由人为或非人为发起的行动，使主机硬件、软件或者两者同时失去工作能力，使系统不可访问并因此拒绝合法的用户服务要求。这种攻击往往是针对TCP/IP协议中的某个弱点，或者系统存在的某些漏洞，对目标系统发起的大规模进攻致使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷以至于瘫痪而无法向合法的用户提供正常的服务。 　　DoS技术严格的说只是一种破坏网络服务的技术方式，具体的实现多种多样，但都有一个共同点，就是其根本目的是使受害主机或网络失去及时接受处理外界请求，或无法及时回应外界请求。DoS攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。这种攻击可能就是泼到你服务器上的一杯水，或者网线被拔下，或者网络的交通堵塞等等，最终的结果是正常用户不能使用他所需要的服务了，不论本地或者是远程。 　　DoS攻击是目前黑客常用的攻击手法，由于可以通过使用一些公开的软件进行攻击，它的发动便较为简单，能够产生迅速的效果，同时要防止这种攻击又非常困难。从某种程度上可以说，DOS攻击永远不会消失而且从技术上目前没有非常根本的解决办法。 　　2.2 SYN Flood介绍 　　1996年9月以来，许多Internet站点遭受了一种称为SYN洪水（SYN flooding）的DoS攻击。它是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机或路由器都可能成为这种攻击的目标，并且跟踪攻击的来源十分困难。SYN Flooding是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一。 　　SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从图1可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k，