SYN攻击原理与防范.docxVIP

据统计，在所有黑客攻击事件中，SYN 攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得 2000 年 YAHOO 网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN 攻击，有些网络蠕虫病毒配合 SYN 攻击造成更大的破坏。本文介绍 SYN 攻击的基本原理、工具及检测方法，并全面探讨 SYN 攻击防范技术。 一、TCP 握手协议 在 TCP/IP 协议中，TCP 协议提供可靠的连接服务，采用三次握手建立一个连接。 第一次握手：建立连接时，客户端发送 syn 包(syn=j)到服务器，并进入 SYN_SEND 状态，等待服务器确认； 第二次握手：服务器收到syn 包，必须确认客户的SYN（ack=j+1），同时自己也发送一个 SYN 包（syn=k），即 SYN+ACK 包，此时服务器进入 SYN_RECV 状态； 第三次握手：客户端收到服务器的SYN＋ACK 包，向服务器发送确认包ACK(ack=k+1)， 此包发送完毕，客户端和服务器进入 ESTABLISHED 状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念： 未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的 SYN 包（syn=j）开设一个条目，该条目表明服务器已收到SYN 包，并向客户发出确认，正 在等待客户的确认包。这些条目所标识的连接在服务器处于 Syn_RECV 状态，当服务器收到客户的确认包时，删除该条目，服务器进入 ESTABLISHED 状态。 Backlog 参数：表示未连接队列的最大容纳数目。 SYN-ACK 重传次数 服务器发送完 SYN－ACK 包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。 半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN 包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为 Timeout 时间、SYN_RECV 存活时间。 二、SYN 攻击原理 SYN 攻击属于 DOS 攻击的一种，它利用 TCP 协议缺陷，通过发送大量的半连接请求， 耗费 CPU 和内存资源。SYN 攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN 攻击并不管目标是什么系统，只要这些系统打开TCP 服务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入 SYN_RECV 状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP 欺骗，SYN 攻击能达到 很好的效果，通常，客户端在短时间内伪造大量不存在的 IP 地址，向服务器不断地发送 syn 包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的 SYN 包将长时间占用未连接队列，正常的 SYN 请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。 三、SYN 攻击工具 SYN 攻击实现起来非常的简单，互联网上有大量现成的SYN 攻击工具。Windows 系统下的 SYN 工具： 以 synkill.exe 为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和 TCP 端囗，激活运行，很快就 发现目标系统运行缓慢。如果攻击效果不明显，可能是目标机器并未开启所填写的 TCP 端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的 TCP 端囗，通常，Windows 系统开放 tcp139 端囗，UNIX 系统开放 tcp7、21、23 等端囗。 四、检测 SYN 攻击 检测 SYN 攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源 IP 地址是随机的，基本上可以断定这是一次 SYN 攻击。我们使用系统自带的 netstat 工具来检测SYN 攻击： # netstat -n -p TCP tcp 0 0 1:23:25882 SYN_RECV - tcp 0 0 1:2304:2577 SYN_RECV - tcp 0 0 1:2329:51748 SYN_RECV - tcp 0 0 1:235:47393 SYN_RECV - tcp 0 0 1:2382:60427 SYN_RECV - tcp 0 0 1:238:278 SYN_RECV - tcp 0 0 1:236:5122SYN_RECV - tcp 0 0 1:2307:49162 SYN