資源描述:
《SYN洪泛攻擊原理及其防范策略》由會(huì)員上傳分享�,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、摘要:SYN洪泛攻擊是出現(xiàn)在這兒年的一種具有很強(qiáng)攻擊力而又缺乏有效防御手段的Internet攻擊手段�����,是目前網(wǎng)絡(luò)安全界研究的熱點(diǎn)。TCPSYN洪流攻擊是最常見的DoS攻擊手段么一����。文中著重對(duì)TCPSYN洪流攻擊及其防范措施進(jìn)行了深入研究,提出了一種新的綜合攻擊檢測(cè)技術(shù)���,較好地解決了對(duì)此類攻擊的防范問題����。中國(guó)論文網(wǎng)關(guān)鍵詞:SYN洪泛攻擊�;DOS攻擊;TCP協(xié)議���;三次握手協(xié)議���;防范策略中圖分類號(hào)TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)30-7208-02SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷�����,通過發(fā)送大量的半連接請(qǐng)求�����,耗費(fèi)CP
2、U和內(nèi)存資源�����。SYN攻擊除了能影響主機(jī)外��,還可以危害路市器����、防火墻等網(wǎng)絡(luò)系統(tǒng)��,事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)�,只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。1SYN洪泛攻擊原理及其防范策略1.1SYN洪泛攻擊所存在的基礎(chǔ)環(huán)境SYN洪泛攻擊首次出現(xiàn)在1996年���。當(dāng)時(shí)主要是應(yīng)川于攻擊網(wǎng)絡(luò)服務(wù)提供商(1SP)的郵件和Telnet服務(wù)�,并造成了停機(jī)����。給服務(wù)器操作造成嚴(yán)重的影響。SYN攻擊利用的是TCP的三次握手機(jī)制����,攻擊端利用偽造的IP地址向被攻擊端發(fā)出請(qǐng)求�,而被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地�����,那么被攻擊端在等待關(guān)閉這個(gè)連接的過程中消耗了資源���,如果有成千上萬(wàn)的
3�、這種連接�����,主機(jī)資源將被耗盡����,從而達(dá)到攻擊的目的。TCP傳輸控制塊是一種包含一個(gè)連接所有信息的傳輸協(xié)議數(shù)據(jù)結(jié)構(gòu)狀態(tài)的TCP連接項(xiàng)目�����,和己建立完整連接但仍未由應(yīng)用程序通過accept()調(diào)用提取的項(xiàng)目)����。一個(gè)單一的傳輸控制塊所占內(nèi)存大小取決于連接中所用的TCP選項(xiàng)和其他一些功能的實(shí)現(xiàn)。通常一個(gè)傳輸控制塊至少280字節(jié)��,在某些操作系統(tǒng)屮已經(jīng)超過了1300字節(jié)。TCP的SYN-RECEIVED狀態(tài)用于指出這個(gè)連接僅僅是半開連接�����,請(qǐng)求是否合法仍被質(zhì)疑����。傳輸控制塊分配空間的人小取決于接收的SYN包一一在連接被完全建立或者說連接發(fā)起人的返冋可達(dá)性被證實(shí)Z前��。這就導(dǎo)致了一個(gè)明
4��、顯潛在的DoS攻擊��,到達(dá)的SYN包將被分配過多的傳輸控制塊而導(dǎo)致主機(jī)的內(nèi)核內(nèi)存被耗盡�����。為了避免這種內(nèi)心耗盡�����,操作系統(tǒng)通常給監(jiān)聽接口關(guān)聯(lián)了一個(gè)"backlog"隊(duì)列參數(shù)�,它同時(shí)維護(hù)連接的傳輸控制塊上限數(shù)量和SYN-RECEIVEI)狀態(tài)。盡管這種方案使主機(jī)的可用內(nèi)存免遭攻擊�����,但是backlog隊(duì)列本身就帶來(lái)了一個(gè)(小的)受攻擊源。當(dāng)backlog中沒有空間時(shí)�,就不可能再響應(yīng)新的連接請(qǐng)求,除非傳輸控制塊能被冋收或者從SYN-REC1EVE狀態(tài)中移除�。試圖發(fā)送足夠多的SYN包而耗盡backlog是TCPSYN洪泛的目的。攻擊者在SYN包中加入源1P地址�����,這樣就不會(huì)導(dǎo)
5����、致主機(jī)將己分配的傳輸控制塊從SYN-RECEV1ED狀態(tài)隊(duì)列中移除(因?yàn)橹鳈C(jī)將響應(yīng)SYN-ACK)op*TCP是可靠的,目的主機(jī)在斷開半開連接并在SYN-REC1EVED隊(duì)列中移除傳輸控制塊之詢將等待相當(dāng)長(zhǎng)的時(shí)間�����。在此期間����,服務(wù)器將不能響應(yīng)其他應(yīng)用程序合法的新TCP連接請(qǐng)求。1.2SYN攻擊方式及應(yīng)對(duì)方式詳解SYN攻擊利用的是TCP的三次握手機(jī)制��,攻擊端利用偽造的IP地址向被攻擊端發(fā)出請(qǐng)求�,而被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地�,那么被攻擊端在等待關(guān)閉這個(gè)連接的過程中消耗了資源�,如果有成千上萬(wàn)的這種連接,主機(jī)資源將被耗盡����,從而達(dá)到攻擊的目的。1.2.1直
6���、接攻擊如果攻擊者川他們自己的沒有經(jīng)過偽裝的1P地址快速地發(fā)送SYN數(shù)據(jù)包�,這就是所謂的直接攻擊����。這種攻擊非常容易實(shí)現(xiàn)��,因?yàn)樗⒉簧婕肮粽卟僮飨到y(tǒng)用戶層以下的欺端或修改數(shù)據(jù)包�。例如,攻擊者簡(jiǎn)單地發(fā)送很多的TCP連接請(qǐng)求來(lái)實(shí)現(xiàn)這種攻擊���。然而�����,這種攻擊要想奏效攻擊者還必須阻止他的系統(tǒng)響應(yīng)SYN-ACK包����,因?yàn)槿魏蜛CK、RST或ICMP(InternetControlMessageProtocol)包都將讓服務(wù)器跳過SYN-RECEIVED狀態(tài)(進(jìn)入下一個(gè)狀態(tài))而移除傳輸控制塊(因?yàn)檫B接已經(jīng)建立成功或被冋收了)�����。攻擊者可以通過設(shè)置防火墻規(guī)則來(lái)實(shí)現(xiàn)�����,讓防火墻阻止一切
7�����、要到達(dá)服務(wù)器的數(shù)據(jù)包(SYN除外)���,或者讓防火墻阻止一切進(jìn)來(lái)的包來(lái)使SYN-ACK包在到達(dá)本地TCP處理程序Z前就被丟棄了�����。一旦被檢測(cè)到���,這種攻擊非常容易抵御,用一個(gè)簡(jiǎn)單的防火墻規(guī)則阻止帶有攻擊者IP地址的數(shù)據(jù)包就口J以了。這種方法在如今的防火墻軟件中通常都是自動(dòng)執(zhí)行的�����。1.2.2欺騙式攻擊SYN洪泛攻擊的另一種方式是卬地址欺騙�。它比直接攻擊方式更復(fù)雜一點(diǎn),攻擊者還必須能夠用有效的TP和TCP報(bào)文頭去替換和重新生成原始TP報(bào)文�����。如今���,有很多代碼庫(kù)能夠幫助攻擊者替換和重新牛成原始IP報(bào)文�����。對(duì)于欺騙式攻擊����,首先需?��?紤]的就是選擇地址。耍使攻擊成功�����,位于偽裝IP地址
8、上的主機(jī)必須不能響應(yīng)任何發(fā)送給它們的S
