2019年典型黑客攻击之拒绝服务攻防.pptVIP

假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。。 实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 在实验室中模拟的一次Syn Flood攻击的实际过程: 　 这一个局域网环境，只有一台攻击机（PIII667/128/mandrake），被攻击的是一台Solaris 8.0 (spark)的主机，网络设备是Cisco的百兆交换机。这是在攻击并未进行之前，在Solaris上进行snoop的记录，snoop与tcpdump等网络监听工具一样，也是一个很好的网络抓包与分析的工具。可以看到攻击之前，目标主机上接到的基本上都是一些普通的网络包。 ……　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes　　　　 ? - (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes6 - 55 NBT Datagram Service Type=17 Source=GU[0]10 - 55 NBT Datagram Service Type=17 Source=ROOTDC[20]47 - 55 NBT Datagram Service Type=17 Source=TSC[0]　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes00 - (broadcast) ARP C Who is 02, 02 ?　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes6 - 55 NBT Datagram Service Type=17 Source=GU[0]6 - 55 NBT Datagram Service Type=17 Source=GU[0]10 - 55 NBT Datagram Service Type=17 Source=ROOTDC[20]　　　　 ? - (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes　　　　 ? - (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes…… 　　　　 接着，攻击机开始发包，DDoS开始了…，突然间sun主机上的snoop窗口开始飞速地翻屏，显示出接到数量巨大的Syn请求。这时的屏幕就好象是时速300公里的列车上的一扇车窗。这是在Syn Flood攻击时的snoop输出结果： ……78 - AUTH C port=1352 78 - TCP D=114 S=1352 Syn Seq=674711609 Len=0 Win=655357