資源描述:
《tcp syn flood網(wǎng)絡(luò)攻擊技術(shù)及防御 畢業(yè)論文》由會員上傳分享��,免費在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1���、TCPSYNFlood網(wǎng)絡(luò)攻擊技術(shù)及防御內(nèi)容摘要拒絕服務(wù)攻擊(DenialofService���,DoS)是目前比較有效而又非常難于防御的一種網(wǎng)絡(luò)攻擊方式,它的目的就是使服務(wù)器不能夠為正常訪問的用戶提供服務(wù)���。而SYNFlood是最為有效和流行的一種DoS攻擊形式��。它利用TCP三次握手協(xié)議的缺陷�����,向目標(biāo)主機發(fā)送大量的偽造源地址的SYN連接請求����,消耗目標(biāo)主機的資源,從而不能夠為正常向連接是指網(wǎng)絡(luò)在進行一次正常的TCP傳輸之前首先需要在TCP客戶端和TCP服務(wù)端建立特定的虛電路連接����,該連接過程通常被稱為TCP的“三次握手”。在TCP三進入SYN_RECV狀態(tài)��;第三次握手:客戶
2�����、端收到服務(wù)器的SYN+ACK包�,向服務(wù)器發(fā)送確認包ACK(ack=k+1),此包發(fā)送完畢�����,客戶端和服務(wù)器進入ESTABLISHED狀態(tài)�����,完成三次握手。如下圖所示(本文中圖形皆由visio2010作出)圖①正常情況下TCP建立連接的過程在上述過程中��,當(dāng)服務(wù)器收到SYN報文后����,在發(fā)送SYN/ACK回應(yīng)客戶端之前,需要分配一個數(shù)據(jù)區(qū)記錄這個未完成的TCP連接���,這個數(shù)據(jù)區(qū)通常稱為TCB資源,此時的TCP連接也稱為半開連接�。這種半開連接僅在收到客戶端響應(yīng)報文或連接超時后才斷開,而客戶端在收到SYN/ACK報文之后才會分配TCB資源����,因此這種不對稱的資源分配模式會被攻擊者所利用
3、形成SYN?Flood攻擊��。1.2TCP三次握手的缺陷在通常情況下���,每一種操作系統(tǒng)都會使用一塊限定的內(nèi)存來處理TCP連接請求��。這塊內(nèi)存被稱為TCP緩存�����。當(dāng)TCP緩存未滿時�,每當(dāng)客戶端發(fā)送一個包含有SYN標(biāo)志置位的連接數(shù)據(jù)包到服務(wù)端時,服務(wù)端都會分配一塊內(nèi)存用于處理該連接請求���。一般來說�����,TCP緩存的容量是不大的�,因為正常的情況下����,TCP能夠很好地處理連接請求,即使有時TCP緩存已經(jīng)滿了����,客戶端只要重新發(fā)送連接請求,服務(wù)器端有時間清空緩存隊列以響應(yīng)新的連接請求���,而且一般情況下���,同一時間連接某臺服務(wù)器的相應(yīng)端口以請求相應(yīng)服務(wù)的數(shù)量是不會太多的。服務(wù)器提供服務(wù)時,一般服務(wù)器
4����、在提供服務(wù)的相應(yīng)端口監(jiān)聽、接收客戶端的連接請求和數(shù)據(jù)包��。服務(wù)端接收到數(shù)據(jù)包時一般首先在TCP層對數(shù)據(jù)包進行分解��,分解出TCP數(shù)據(jù)包內(nèi)容和IP報頭����,并將這些信息存貯到內(nèi)存中,然后檢查TCP-7-校驗和���,如果檢驗失敗,不返回確認ACK��,該分段丟棄�,并等待客戶端進行重傳。如果檢驗和通過����,將查找與該連接相關(guān)聯(lián)的協(xié)議控制塊,如果此時沒有找到與該連接相關(guān)聯(lián)的協(xié)議控制塊�����,TCP將該分段丟棄并返回RESET,如果找到了與該連接相關(guān)聯(lián)的協(xié)議控制塊����,但狀態(tài)為關(guān)閉,這時該數(shù)據(jù)包被丟棄����,但不返回RESET信息,客戶端會嘗試重新建立連接請求��。但如果上述狀態(tài)正常���,服務(wù)端將會建立新的Socket
5����、�,同時把該調(diào)用過程放入TCP緩存隊列中,如果此時緩存隊列已填滿整個緩存時�,TCP認為有錯誤發(fā)生,所有的后續(xù)連接請求會被拒絕����。所以我們假設(shè)在TCP連接的三次握手中�,有一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線�,那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文(第三次握手無法完成),這種情況下服務(wù)器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接��;但如果有一個惡意的攻擊者利用IP欺騙技術(shù)��,向服務(wù)器大量發(fā)送經(jīng)過IP偽裝以后的連接數(shù)據(jù)包�,由于這些數(shù)據(jù)中的源地址都是經(jīng)過黑客精心挑選的虛假的IP地址,服務(wù)器端將為了維護
6�、一個非常大的半連接列表而消耗非常多的資源———數(shù)以萬計的半連接。如果此時服務(wù)器的TCP/IP棧不夠強��,或者說緩存不夠大時����,最后的結(jié)果往往是由于服務(wù)器維持的半連接太多而導(dǎo)致堆棧溢出崩潰,或者是服務(wù)器端忙于處理攻擊者偽造的TCP連接請求而無法處理客戶的正常請求����,這時候我們就認為:服務(wù)器端受到了SYNFlood攻擊�����。1.3SYNFlood攻擊的機制客戶端通過發(fā)送在TCP報頭中SYN標(biāo)志置位的數(shù)據(jù)分段到服務(wù)端來請求建立連接����。通常情況下����,服務(wù)端會按照IP報頭中的來源地址來返回SYN/ACK置位的數(shù)據(jù)包給客戶端���,客戶端再返回ACK到服務(wù)端來完成一個完整的連接�。在攻擊發(fā)生時�,客戶
7、端的來源IP地址是經(jīng)過偽造的(spoofed)�,現(xiàn)行的IP路由機制僅檢查目的IP地址并進行轉(zhuǎn)發(fā),該IP包到達目的主機后返回路徑無法通過路由達到的�����,于是目的主機無法通過TCP三次握手建立連接�。在此期間因為TCP緩存隊列已經(jīng)填滿,而拒絕新的連接請求���。目的主機一直嘗試直至超時(大約75秒)�����。這就是該攻擊類型的基本機制�����。發(fā)動攻擊的主機只要發(fā)送較少的�����,來源地址經(jīng)過偽裝而且無法通過路由達到的SYN連接請求至目標(biāo)主機提供TCP服務(wù)的端口�,將目的主機的TCP緩存隊列填滿,就可以實施一次成功的攻擊�����。實際情況下����,發(fā)動攻擊時往往是持續(xù)且高速的。下圖為SYNFlood攻擊過程示意圖:-
