SYN攻击基本原理与防备技术二[网络技术]

5、SYN攻击防备技术

　　关于SYN攻击防备技术,人们研究得对比早.归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防备.但必须清楚的是,SYN攻击不能完好被禁止,我们所做的是尽大概的减轻SYN攻击的危害,除非将TCP协议重新计划.

　　1、过滤网关防护

　　这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关.防火墙布置在差别网络之间,防备外来不法攻击和避免保密信息外泄,它处于客户端和服务器之间,操纵它来防护SYN攻击能起到很好的效果.过滤网关防护主要包含超时设置,SYN网关和SYN代理三种.

　　·网关超时设置:

　　防火墙设置SYN转发超时参数(状况检测的防火墙可在状况表里面设置),该参数远小于服务器的timeout时间.当客户端发送完SYN包,服务端发送确认包后(SYN+ACK),防火墙假如在计数器到期时还未收到客户端的确认包(ACK),则往服务器发送RST包,以使服务器从行列中删去该半衔接.值得注意的是,网关超时参数设置不宜太小也不宜过大,超时参数设置太小会影响正常的通讯,设置太大,又会影响防备SYN攻击的效果,必须按照所处的网络利用环境来设置此参数.

　　·SYN网关:

　　SYN网关收到客户端的SYN包时,直接转发给服务器;SYN网关收到服务器的SYN/ACK包后,将该包转发给客户端,同时以客户端的名义给服务器发ACK确认包.此时服务器由半衔接状况进入衔接状况.当客户端确认包到达时,假若有数据则转发,不然丢弃.事实上,服务器除了保持半衔接行列外,还要有一个衔接行列,假如发生SYN攻击时,将使衔接行列数目增添,但普通服务器所能承受的衔接数目比半衔接数目大得多,所以这种办法能有效地减轻对服务器的攻击.

　　·SYN代理:

　　当客户端SYN包到达过滤网关时,SYN代理并不转发SYN包,而是以服务器的名义主动答复SYN/ACK包给客户,假如收到客户的ACK包,表明这是正常的拜候,此时防火墙向服务器发送ACK包并完成三次握手.SYN代理事实上替换了服务器去处理SYN攻击,此时要求过滤网关自身具有很强的防备SYN攻击本领.

　　2、加固tcp/ip协议栈

　　防备SYN攻击的另一项主要技术是调整tcp/ip协议栈,改正tcp协议实现.主要办法有SynAttackProtect保护机制、SYN cookies技术、增添最大半衔接和缩短超不时间等.tcp/ip协议栈的调整大概会惹起某些功效的受限,管理员应当在举行充分理解和测试的前提下举行此项工作.

　　·SynAttackProtect机制

　　为防备SYN攻击,Windows2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制,Win2003系统也采取此机制.SynAttackProtect机制是通过关闭某些socket选项,增添额外的衔接指导和削减超不时间,使系统能处理更多的SYN衔接,以到达防备SYN攻击的目的.默许情形下,Windows2000操作系统并不支持SynAttackProtect保护机制,需求在注册表以下位置增添SynAttackProtect键值:

　　HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　当SynAttackProtect值(如无分外阐明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect保护.

　　当SynAttackProtect值为1时,系统通过削减重传次数和耽误未衔接时路由缓冲项(route cache entry)防备SYN攻击.

　　当SynAttackProtect值为2时(Microsoft举荐利用此值),系统不但利用backlog行列,还利用附加的半衔接指导,以此来处理更多的SYN衔接,利用此键值时,tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止.

　　我们应当知道,平常,系统是不启用SynAttackProtect机制的,仅在检测到SYN攻击时,才启用,并调整tcp/ip协议栈.那么系统是若何检测SYN攻击发生的呢?事实上,系统按照TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断能否蒙受SYN攻击.

　　TcpMaxHalfOpen 表示能同时处理的最大半衔接数,假如超越此值,系统认为正处于SYN攻击中.Windows2000　server默许值为100,Windows2000 Advanced server为500.

　　TcpMaxHalfOpenRetried定义了保存在backlog行列且重传过的半衔接数,假如超越此值,系统自动启动SynAttackProtect机制.Windows2000 server默许值为80,Windows2000 Advanced server为400.

[1] [2]  下一页