2021年的春节刚过去不久,各行各业都开始复工复产,网盾科技也不例外,随着工作逐渐步入正轨,来访的客户也越来越多,工作就开始忙碌起来,只是最近经常会接到好些个电话,关于SYN攻击的问题,这里我给大家统一说一下吧,有需要的朋友可以收藏一下。
什么是Syn Flood攻击?
Syn Flood攻击是网络攻击的一种手段, 又称为SYN洪水、SYN洪泛,是一种典型的DoS(Denial of Service,拒绝服务)攻击(阻断服务攻击),效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。
Syn Flood有哪些种类?
1、Direct Attack 攻击方使用固定的源地址发起攻击,这种方法对攻击方的消耗最小。
2、Spoofing(欺骗)Attack 攻击方使用变化的源地址发起攻击,这种方法需要攻击方不停地修改源地址,实际上消耗也不大。
3、Distributed Direct Attack 这种攻击主要是使用僵尸网络进行固定源地址的攻击。
僵尸网络(Botnet) 是指采用一种或多种传播手段,将大量主机感染bot程序病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
Syn Flood攻击的原理是什么?
说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handshake)。
当客户端尝试与服务器建立TCP连接时,客户端和服务器在正常情况下交换一组信息,如下所示:
1.客户端将SYN同步信息发送到服务器并请求连接设置。
2.服务器响应客户端SYN-ACK响应请求。
3.客户端承诺ACK并建立连接。
这是在所谓的TCP 3次握手中使用TCP传输协议的每个连接的基础。
Syn Flood攻击就是攻击者发送许多数据包,但不向服务器发送“ACK”。因此,连接是半开的,如果这些半开放连接绑定服务器资源,则可以向服务器排出大量SYN信息,这可能会导致网络拥塞而无需ACK。
Syn Flood攻击的危害是什么?
如果恶意地向某个服务器端口发送大量的SYN包,则可以使服务器打开大量的半开连接,分配TCB,从而消耗大量的服务器资源,同时也使得正常的连接请求无法被响应。而攻击发起方的资源消耗相比较可忽略不计。
Syn Flood攻击要怎么应对?
1、对SYN包进行监视
对于Direct Attack攻击的防范可以使用比较简单的方法,即对SYN包进行监视,如果发现某个IP发起了较多的攻击报文,直接将这个IP列入黑名单即可。当然下述的方法也可以对其进行防范。
对于源地址不停变化的攻击使用上述方法则不行,首先从某一个被伪装的IP过来的SYN报文可能不会太多,达不到被拒绝的阈值,其次从这个被伪装的IP(真实的)的请求会被拒绝掉。因此必须使用其他的方法进行处理。
2、延缓TCB分配方法
从前面SYN Flood原理可以看到,消耗服务器资源主要是因为当SYN数据报文一到达,系统立即分配TCB,从而占用了资源。而SYN Flood由于很难建立起正常连接,因此,当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。
3、无效连接监视释放
这种方法不停监视系统的半开连接和不活动连接,当达到一定阈值时拆除这些连接,从而释放系统资源。这种方法对于所有的连接一视同仁,而且由于SYN Flood造成的半开连接数量很大,正常连接请求也被淹没在其中被这种方式误释放掉,因此这种方法属于入门级的SYN Flood方法。
本文暂时没有评论,来添加一个吧(●'◡'●)