Windows Server 2003下SYN Flood攻击防御的一种方法.docVIP

Windows Server 2003下SYN Flood攻击防御的一种方法 　　摘要：SYN FLOOD攻击是目前比较常见的攻击方式之一。该文介绍了SYN FLOOD攻击的基本原理，通过对Windows Server 2003操作系统系统注册表修改策略提高TCP\IP通信安全来有效防止来自网络内外部SYN FLOOD攻击。 　　关键词：SYN Flood；DoS；三次握手；注册表；网络安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)18-4304-02 　　One of the Defense Methods against SYN FLOOD Attacks under Window Server 2003 Operating System 　　CHEN Yong 　　(Collage of Fundamental Education, Sichuan Normal University, Chengdu 610068, China) 　　Abstract: SYN FLOOD Attack is one of the popular attacks on Internet. This paper introduces the basic principles of SYN FLOOD Attack. Through modifying the operating system registry of Window Server 2003, we can improve TCP/IP communication security for effectively preventing the network from internal and external SYNFLOOD Attacks. 　　Key words: SYN Flood; DoS; three-way handshake; registry; network security 　　TCP/IP（Transmission Control Protocol/Internet Protocol) 协议是目前使用最广泛的网络互连协议，但是由于TCP 三次握手中存在不安全隐患，极易被攻击者利用，对网络安全带来隐患。而SYN Flood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，它正是利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。由于攻击简单、破坏力强、易于实现、难于防止和追查，越来越成为黑客常用的攻击方式，给网络的安全性构成了极大的威胁。本文通过对SYN flood 攻击原理分析，介绍在Windows Sever 2003操作系统下通过修改注册表项来防御SYN flood攻击的一种方法，具有较强的实用性。 　　1 SYN Flood 攻击原理 　　一个正常的TCP 连接三次握手过程要经过以下几个步骤（如图1所示）：首先客户端向服务器发送带有初始化信息的SYN 数据包且等待服务器的回应；当服务器接收到 SYN 数据包后返回给请求的客户端一个SYN+ACK 的应答包，以确认客户端的服务请求被接受；最后客户端再向服务器端发送ACK 进行确认，在完成正常的三次握手过程之后，客户端和服务器就可以传送数据了。 　　在上述过程中，服务器会建立起一个未完成连接的队列，为每一客户端发送的SYN包建立一个条目，该条目表明服务器接受到客户端的连接请求，并发出了等待客户端的确认包，此时的服务器处于SYN_RECV状态。只有服务器收到确认包以后，此条目将被删除，而服务器也将进入Established状态。通常在服务器发送完SYN/ACK分组后处于SYN_RECV状态，等待请求连接客户端的返回一个ACK分组，此时服务器已经为建立此次连接分配相应的资源。如果攻击者，使用了伪造的IP地址，那么服务器将始终处于等待的“半连接”状态，直到超时而在连接队列里删除。SYN Flood 攻击正是利用TCP 协议三次握手过程中的这一缺陷，在短时间内，使用大量伪造IP地址向服务器发送大量的SYN分组请求而导致服务器耗尽资源而无法接受新的连接请求，处于拒绝服务请求的状态。 　　2 SYN Flood攻击的防御方法 　　当前SYN Flood攻击防御方法有很多，比如缩短SYN Timeout 的时间，改进SYN Cookie算法，或使用专用防火墙等等。如今借助一些专业防护产品可以即时发现攻击，如图2。 　　当McAfee防火墙检查到攻击时，可以直接屏蔽攻击IP地址或暂时限制访问，但攻击来自使用代理服务的内部网络时，采用屏蔽的方式将把正常的访问者一