SYN攻击基本原理与防备技术一[网络技术]

据统计,在全部黑客攻击事件中,SYN攻击是最常见又最简单被操纵的一种攻击伎俩.相信很多人还记得2000年YAHOO网站蒙受的攻击事例,当时黑客操纵的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏.本文介绍SYN攻击的基本原理、工具及检测办法,并全面探究SYN攻击防备技术.

　　1、TCP握手协议

　　在TCP/IP协议中,TCP协议供应坚固的衔接服务,采取三次握手成立一个衔接.

　　第一次握手:成立衔接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状况,等候服务器确认;

　　第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状况;

　　第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状况,完成三次握手.

　　完成三次握手,客户端与服务器开始传送数据,在上述历程中,还有一些重要的概念:

　　未衔接行列:在三次握手协议中,服务器保护一个未衔接行列,该行列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等候客户的确认包.这些条目所标识的衔接在服务器处于Syn_RECV状况,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状况.

　　Backlog参数:表示未衔接行列的最大包容数目.

　　SYN-ACK 重传次数　服务器发送完SYN-ACK包,假如未收到客户确认包,服务器举行初次重传,等候一段时间仍未收到客户确认包,举行第二次重传,假如重传次数超越系统规定的最大重传次数,系统将该衔接信息从半衔接行列中删除.注意,每次重传等候的时间不一定相同.

　　半衔接存活时间:是指半衔接行列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是全部重传恳求包的最长等候时间总和.有时我们也称半衔接存活时间为Timeout时间、SYN_RECV存活时间.

　　2、SYN攻击原理

　　SYN攻击属于dos攻击的一种,它操纵TCP协议缺陷,通过发送大量的半衔接恳求,耗费CPU和内存资源.SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统翻开TCP服务便可以实施.从上图可看到,服务器接纳到衔接恳求(syn=j),将此信息加入未衔接行列,并发送恳求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状况.当服务器未收到客户端的确认包时,重发恳求包,一向到超时,才将此条目从未衔接行列删除.配合IP拐骗,SYN攻击能到达很好的效果,普通,客户端在短时间内假造大量不存在的IP地址,向服务器不断地发送syn包,服务器答复确认包,并等候客户的确认,由于源地址是不存在的,服务器需求不断的重发直至超时,这些假造的SYN包将长时间占用未衔接行列,正常的SYN恳求被丢弃,目标系统运行迟钝,严重者惹起网络堵塞乃至系统瘫痪.

　　3、SYN攻击工具

　　SYN攻击实现起来非常的简单,互联网上有大量现成的SYN攻击工具.

　　Windows系统下的SYN工具:

　　以synkill.exe为例,运行工具,挑选随机的源地址和源端囗,并填写目标机械地址和TCP端囗,激活运行,很快就会发现目标系统运行迟钝.假如攻击效果不明显,大概是目标机械并未开启所填写的TCP端囗大概防火墙回绝拜候该端囗,此时可挑选答应拜候的TCP端囗,普通,Windows系统开放tcp139端囗,UNIX系统开放tcp7、21、23等端囗.

[1] [2]  下一页