資源描述:
《tcp syn flood網(wǎng)絡(luò)攻擊原理及其防御實(shí)現(xiàn)》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1���、萬(wàn)方數(shù)據(jù)2008年第2期福建電腦159TCPSYNflood網(wǎng)絡(luò)攻擊原理及其防御實(shí)現(xiàn)王毅,馮永祥(內(nèi)蒙..b--r業(yè)大學(xué)信息工程學(xué)院內(nèi)蒙古呼和浩特010051)【摘要】:本論文討論現(xiàn)在流行的網(wǎng)絡(luò)攻擊方式��,目的是在以后的防火墻的開(kāi)發(fā)中能夠?qū)ふ页鲆环N比較有效的抵抗洪水攻擊的方案���?!娟P(guān)鍵詞】:拒絕服務(wù)攻擊�;SYN-cookie���;地址狀態(tài)監(jiān)控1.TCPSYNHood攻擊介紹:拒絕服務(wù)攻擊(VenialofService.DoS)是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式.它的目的就是使服務(wù)器不能夠?yàn)檎TL問(wèn)的用戶提供服務(wù):sYN
2、Hood是最為有效和流行的一種DoS攻擊形式��。它利用TCP三次握手協(xié)議的缺陷���。向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求.消耗目標(biāo)主機(jī)的資源����。從而不能夠?yàn)檎S脩籼峁┓?wù)����。1.1TCP連接建立的過(guò)程1℃P三次握手過(guò)程如下:1)客戶端向服務(wù)器端發(fā)送一個(gè)SYN置位的TCP報(bào)文。包含客戶端使用的端口號(hào)和初始序列號(hào)x:2)服務(wù)器端收到客戶端發(fā)送來(lái)的SYN報(bào)文后.向客戶端發(fā)送一個(gè)SYN和ACK都置位的TCP報(bào)文�。包含確認(rèn)號(hào)為x+l和服務(wù)器的初始序列號(hào)Y:3)客戶端收到服務(wù)器返回的SYN+ACK報(bào)文后。向服務(wù)器返回一個(gè)確認(rèn)號(hào)為y+l序號(hào)
3�����、為x+l的ACK報(bào)文.一個(gè)標(biāo)準(zhǔn)的TCP連接完成��。如圖l所示:圖I正常情況下TCP連接建立的過(guò)程1.2攻擊原理客戶端通過(guò)發(fā)送在TCP報(bào)頭中SYN標(biāo)志置位的數(shù)據(jù)分段到服務(wù)端來(lái)請(qǐng)求建立連接�����。通常情況下���。服務(wù)端會(huì)按照口報(bào)頭中的來(lái)源地址來(lái)返回SYN/ACK置位的數(shù)據(jù)包給客戶端.客戶端再返回ACK到服務(wù)端來(lái)完成一個(gè)完整的連接����。在攻擊發(fā)生時(shí).客戶端的來(lái)源m地址是經(jīng)過(guò)偽造的(spoofed)����,現(xiàn)行的m路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā)����。該m包到達(dá)目的主機(jī)后返回路徑無(wú)法通過(guò)路由達(dá)到的。于是目的主機(jī)無(wú)法通過(guò)TCP三次握手建立連接���。在此期間因?yàn)門(mén)C
4��、P緩存隊(duì)列已經(jīng)填滿���。而拒絕新的連接請(qǐng)求。目的主機(jī)一直嘗試直至超時(shí)(大約75秒)����。這就是該攻擊類(lèi)型的基本機(jī)制����。發(fā)動(dòng)攻擊的主機(jī)只要發(fā)送較少的.來(lái)源地址經(jīng)過(guò)偽裝而且無(wú)法通過(guò)路由達(dá)到的鰣N連接請(qǐng)求至目標(biāo)主機(jī)提供TCP服務(wù)的端口�,將目的主機(jī)的TCP緩存隊(duì)列填滿。就可以實(shí)施一次成功的攻擊��。實(shí)際情況下�。發(fā)動(dòng)攻擊時(shí)往往是持續(xù)且高速的。如下所示.為SYN玎ood攻擊過(guò)程示意圖這里需要使用經(jīng)過(guò)偽裝且無(wú)法通過(guò)路由達(dá)到的來(lái)源IP地址�。因?yàn)楣粽卟幌M腥魏蔚谌街鳈C(jī)可以收到來(lái)自目的系統(tǒng)返回的SYN/ACK,第三方主機(jī)會(huì)返回一個(gè)碰����、T(主機(jī)無(wú)法判斷該如何
5、處理連接情況時(shí)����,會(huì)通過(guò)RST重置連接),從而妨礙攻擊進(jìn)行��。如下圖所示:由此可以看到.這種攻擊方式利用了現(xiàn)有TcP/口協(xié)議本身的薄弱環(huán)節(jié)�����。而且攻擊者可以通過(guò)P偽裝有效的隱蔽自己。但對(duì)于目的主機(jī)來(lái)說(shuō)�。由于無(wú)法判斷攻擊的真正來(lái)源。而不能采取有效的防御措施�。2.防御SYNHood的方法SYNHood攻擊給互聯(lián)網(wǎng)造成重大影響后.針對(duì)如何防御SYNHood攻擊出現(xiàn)了幾種比較有效的技術(shù).以下兩種技術(shù)是目前所有的防御SYNHood攻擊的最為成熟和可行的技術(shù)2.1SYN-ZookieSYN-cookie是對(duì)TCP服務(wù)器端的三次握手協(xié)議作一些修改,
6�、專(zhuān)門(mén)用來(lái)防范SYNHood攻擊的一種手段。它的原理是����,在TCP服務(wù)器收到TCPSYN包并返回TCPSYN+ACK包時(shí).不分配一個(gè)專(zhuān)門(mén)的數(shù)據(jù)區(qū).而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)cookie值����。在收到TCPACK包時(shí)。TCP服務(wù)器在根據(jù)那個(gè)cookie值檢查這個(gè)TCPACK包的合法性��。如果合法����。再分配專(zhuān)門(mén)的數(shù)據(jù)區(qū)進(jìn)行處理未來(lái)的1℃P連接。2.2地址狀態(tài)監(jiān)控地址狀態(tài)監(jiān)控是利用監(jiān)控工具對(duì)網(wǎng)絡(luò)中的有關(guān)TcP連接的數(shù)據(jù)包進(jìn)行監(jiān)控�����。并對(duì)監(jiān)聽(tīng)到的數(shù)據(jù)包進(jìn)行處理���。處理的主要依據(jù)是連接請(qǐng)求的源地址�����。每個(gè)源地址都有一個(gè)狀態(tài)與之對(duì)應(yīng)���,總共有四種狀態(tài):初態(tài)
7���、:任何源地址剛開(kāi)始的狀態(tài):NEW狀態(tài):第一次出現(xiàn)或出現(xiàn)多次也不能斷定存在的源地址的狀態(tài);GOOD狀態(tài):斷定存在的源地址所處的狀態(tài):BAD狀態(tài):源地址不存在或不可達(dá)時(shí)所處的狀態(tài)��。具體的動(dòng)作和狀態(tài)轉(zhuǎn)換根據(jù)代P頭中的位碼值決定:1)監(jiān)聽(tīng)到SYN包.如果源地址是第一次出現(xiàn)���。則置該源地址的狀態(tài)為NEW狀態(tài)�;如果是NEW狀態(tài)或BAD狀態(tài)�����;則將該包被直接丟棄.如果是G00D狀態(tài)不作任何處理���。2)監(jiān)聽(tīng)到ACK或RST包.如果源地址的狀態(tài)為NEW狀態(tài)��。則轉(zhuǎn)為GOOD狀態(tài)�;如果是GOOD狀態(tài)則不變;如果是BAD狀態(tài)則轉(zhuǎn)為NEW狀態(tài)��。3)監(jiān)聽(tīng)到從服務(wù)
8����、器來(lái)的SYNACK報(bào)文(目的地址為addr),表明服務(wù)器已經(jīng)為從addr發(fā)來(lái)的連接請(qǐng)求建(下轉(zhuǎn)第136頁(yè))萬(wàn)方數(shù)據(jù)136福建電腦2008年第2期能接口�����,不直接調(diào)用具體的數(shù)據(jù)庫(kù).增強(qiáng)了數(shù)據(jù)庫(kù)的安全性�����。4.系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)4.1添加第三方控件到工具箱本系統(tǒng)的開(kāi)發(fā)過(guò)
