SYN洪泛攻击原理及其防范的策略.docVIP

SYN洪泛攻击原理及其防范的策略 　　摘要：SYN洪泛攻击是出现在这几年的一种具有很强攻击力而又缺乏有效防御手段的Internet攻击手段，是目前网络安全界研究的热点。TCP SYN 洪流攻击是最常见的DoS攻击手段之一。文中着重对TCP SYN 洪流攻击及其防范措施进行了深入研究，提出了一种新的综合攻击检测技术，较好地解决了对此类攻击的防范问题。 　　关键词：SYN洪泛攻击；DOS攻击；TCP协议；三次握手协议；防范策略 　　中图分类号 TP309 文献标识码：A 文章编号：1009-3044（2012）30-7208-02 　　SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。 　　1 SYN洪泛攻击原理及其防范策略 　　1.1 SYN洪泛攻击所存在的基础环境 　　SYN洪泛攻击首次出现在1996年。当时主要是应用于攻击网络服务提供商（ISP）的邮件和Telnet服务，并造成了停机。给服务器操作造成严重的影响。 　　SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。 　　TCP 传输控制块是一种包含一个连接所有信息的传输协议数据结构状态的TCP连接项目，和已建立完整连接但仍未由应用程序通过accept（）调用提取的项目）。一个单一的传输控制块所占内存大小取决于连接中所用的TCP选项和其他一些功能的实现。通常一个传输控制块至少280字节，在某些操作系统中已经超过了1300字节。TCP的SYN-RECEIVED状态用于指出这个连接仅仅是半开连接，请求是否合法仍被质疑。传输控制块分配空间的大小取决于接收的SYN包——在连接被完全建立或者说连接发起人的返回可达性被证实之前。这就导致了一个明显潜在的DoS攻击，到达的SYN包将被分配过多的传输控制块而导致主机的内核内存被耗尽。为了避免这种内存耗尽，操作系统通常给监听接口关联了一个backlog队列参数，它同时维护连接的传输控制块上限数量和SYN-RECEIVED状态。尽管这种方案使主机的可用内存免遭攻击，但是backlog队列本身就带来了一个（小的）受攻击源。当backlog中没有空间时，就不可能再响应新的连接请求，除非传输控制块能被回收或者从SYN-RECIEVE状态中移除。 　　试图发送足够多的SYN包而耗尽backlog是TCP SYN洪泛的目的。攻击者在SYN包中加入源IP地址，这样就不会导致主机将已分配的传输控制块从SYN-RECEVIED状态队列中移除（因为主机将响应SYN-ACK）。因为TCP是可靠的，目的主机在断开半开连接并在SYN-RECIEVED队列中移除传输控制块之前将等待相当长的时间。在此期间，服务器将不能响应其他应用程序合法的新TCP连接请求。 　　1.2 SYN攻击方式及应对方式详解 　　SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。 　　1.2.1 直接攻击 　　如果攻击者用他们自己的没有经过伪装的IP地址快速地发送SYN数据包，这就是所谓的直接攻击。这种攻击非常容易实现，因为它并不涉及攻击者操作系统用户层以下的欺骗或修改数据包。例如，攻击者简单地发送很多的TCP连接请求来实现这种攻击。然而，这种攻击要想奏效攻击者还必须阻止他的系统响应SYN-ACK包，因为任何ACK、RST或ICMP（Internet Control Message Protocol）包都将让服务器跳过SYN-RECEIVED状态（进入下一个状态）而移除传输控制块（因为连接已经建立成功或被回收了）。攻击者可以通过设置防火墙规则来实现，让防火墙阻止一切要到达服务器的数据包（SYN除外），或者让防火墙阻止一切进来的包来使SYN-ACK包在到达本地TCP处理程序之前就被丢弃了。 　　一旦被检测到，这种攻击非常容易抵御，用一个简单的防火墙规则阻止带有攻击者IP地址的数据包就可以了。这种方法在如今的防火墙软件中通常都是自动执行的。 　　1.2.2 欺骗式攻击 　　SYN洪泛攻击的另一种方式是IP地址欺骗。它比直接攻击方式更复杂一点，攻击者还必须能够用有效的IP和TCP报文头去替换和重新生成原始IP报文。如今，有很多代码