SNY Flooding(同步包风暴)是比较经典的DDos攻击方式之一,它的原理简单但是非常有效。它主要利用TCP建立连接的三次握手机制,攻击者向目标主机发送伪造源地址的SYN包,生成大量半连接,导致服务器资源耗尽。一般当目标主机收到伪造的数据包,会向源地址主机回复SYN+ACK应答报文。由于源地址主机并未发送连接请求,因此会向被攻击主机发送RST包,被攻击主机会重置半连接,这样攻击者无法达到攻击目的。因此SNY Flooding攻击者一般会伪造目标主机路由不可达的源地址来发送SYN包。只要持续发送少量的经过伪装的SYN请求,就可以导致被攻击主机TCP缓存队列溢出,最后的结果是堆栈溢出崩溃,正常应用客户会发现服务器失去响应。
SYN Flood的目的是占满服务器的连接数,消耗服务器的系统资源。解决SNY Flooding最直接的办法就是提高服务能力,但是这种方法投入巨大。一般windos系统可以通过修改注册表项,linux系统可以通过iptables规则,限制半连接数量/生存时间等防止服务器崩溃。这也限制了服务器能力。要彻底解决问题,必须在这些攻击报文到达服务器之前就进行拦截。然而对于防火墙这类安全设备而言,SYN报文是正常的业务报文,防火墙的安全策略必须允许其通过,否则服务器就无法对外提供服务。如果能明确虚假源的IP地址,就能通过精细的安全策略阻止这些源发来的SYN报文。但是管理员无法预知哪些是虚假源。即使能分析出虚假源,也无法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量,一般需要需要部署IDS系统来解决问题。
本文暂时没有评论,来添加一个吧(●'◡'●)