資源描述:
《SYN 攻擊原理以及防范技術(shù).pdf》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)����。
1、SYN攻擊原理以及防范技術(shù)本文介紹SYN攻擊的基本原理�����、工具及檢測(cè)方法�����,并全面探討SYN攻擊防范技術(shù)����。據(jù)統(tǒng)計(jì),在所有黑客攻擊事件中�,SYN攻擊是最常見又最容易被利用的一種攻擊手法。相信很多人還記得2000年YAHOO網(wǎng)站遭受的攻擊事例���,當(dāng)時(shí)黑客利用的就是簡(jiǎn)單而有效的SYN攻擊,有些網(wǎng)絡(luò)蠕蟲病毒配合SYN攻擊造成更大的破壞。本文介紹SYN攻擊的基本原理����、工具及檢測(cè)方法,并全面探討SYN攻擊防范技術(shù)��。據(jù)統(tǒng)計(jì)�,在所有黑客攻擊事件中,SYN攻擊是最常見又最容易被利用的一種攻擊手法����。相信很多人還記得2000年YAHOO網(wǎng)站遭受
2、的攻擊事例��,當(dāng)時(shí)黑客利用的就是簡(jiǎn)單而有效的SYN攻擊���,有些網(wǎng)絡(luò)蠕蟲病毒配合SYN攻擊造成更大的破壞�。本文介紹SYN攻擊的基本原理����、工具及檢測(cè)方法,并全面探討SYN攻擊防范技術(shù)�����。一、TCP握手協(xié)議在TCP/IP協(xié)議中��,TCP協(xié)議提供可靠的連接服務(wù)��,采用三次握手建立一個(gè)連接�����。第一次握手:建立連接時(shí)�,客戶端發(fā)送syn包(syn=j)到服務(wù)器,并進(jìn)入SYN_SEND狀態(tài)����,等待服務(wù)器確認(rèn);第二次握手:服務(wù)器收到syn包���,必須確認(rèn)客戶的SYN(ack=j+1)����,同時(shí)自己也發(fā)送一個(gè)SYN包(syn=k)����,即SYN+ACK包,此時(shí)服
3���、務(wù)器進(jìn)入SYN_RECV狀態(tài)��;第三次握手:客戶端收到服務(wù)器的SYN+ACK包���,向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1),此包發(fā)送完畢���,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)����,完成三次握手�����。完成三次握手���,客戶端與服務(wù)器開始傳送數(shù)據(jù)�����,在上述過程中�����,還有一些重要的概念:未連接隊(duì)列:在三次握手協(xié)議中���,服務(wù)器維護(hù)一個(gè)未連接隊(duì)列��,該隊(duì)列為每個(gè)客戶端的SYN包(syn=j)開設(shè)一個(gè)條目��,該條目表明服務(wù)器已收到SYN包����,并向客戶發(fā)出確認(rèn)��,正在等待客戶的確認(rèn)包�����。這些條目所標(biāo)識(shí)的連接在服務(wù)器處于Syn_RECV狀態(tài)���,當(dāng)服務(wù)器收到
4�����、客戶的確認(rèn)包時(shí)�,刪除該條目���,服務(wù)器進(jìn)入ESTABLISHED狀態(tài)����。Backlog參數(shù):表示未連接隊(duì)列的最大容納數(shù)目。SYN-ACK重傳次數(shù)服務(wù)器發(fā)送完SYN-ACK包��,如果未收到客戶確認(rèn)包�,服務(wù)器進(jìn)行首次重傳����,等待一段時(shí)間仍未收到客戶確認(rèn)包,進(jìn)行第二次重傳�����,如果重傳次數(shù)超過系統(tǒng)規(guī)定的最大重傳次數(shù)�,系統(tǒng)將該連接信息從半連接隊(duì)列中刪除。注意�����,每次重傳等待的時(shí)間不一定相同�����。半連接存活時(shí)間:是指半連接隊(duì)列的條目存活的最長(zhǎng)時(shí)間,也即服務(wù)從收到SYN包到確認(rèn)這個(gè)報(bào)文無效的最長(zhǎng)時(shí)間�,該時(shí)間值是所有重傳請(qǐng)求包的最長(zhǎng)等待時(shí)間總和。有時(shí)
5���、我們也稱半連接存活時(shí)間為Timeout時(shí)間����、SYN_RECV存活時(shí)間��。二����、SYN攻擊原理SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷��,通過發(fā)送大量的半連接請(qǐng)求�����,耗費(fèi)CPU和內(nèi)存資源���。SYN攻擊除了能影響主機(jī)外�����,還可以危害路由器��、防火墻等網(wǎng)絡(luò)系統(tǒng)��,事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)���,只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施�����。從上圖可看到,服務(wù)器接收到連接請(qǐng)求(syn=j)����,將此信息加入未連接隊(duì)列,并發(fā)送請(qǐng)求包給客戶(syn=k,ack=j+1)���,此時(shí)進(jìn)入SYN_RECV狀態(tài)��。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時(shí)�����,重發(fā)請(qǐng)
6�����、求包��,一直到超時(shí)�����,才將此條目從未連接隊(duì)列刪除�。配合IP欺騙,SYN攻擊能達(dá)到很好的效果���,通常���,客戶端在短時(shí)間內(nèi)偽造大量不存在的IP地址,向服務(wù)器不斷地發(fā)送syn包���,服務(wù)器回復(fù)確認(rèn)包���,并等待客戶的確認(rèn),由于源地址是不存在的����,服務(wù)器需要不斷的重發(fā)直至超時(shí)���,這些偽造的SYN包將長(zhǎng)時(shí)間占用未連接隊(duì)列,正常的SYN請(qǐng)求被丟棄�,目標(biāo)系統(tǒng)運(yùn)行緩慢,嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓���。三���、SYN攻擊工具SYN攻擊實(shí)現(xiàn)起來非常的簡(jiǎn)單,互聯(lián)網(wǎng)上有大量現(xiàn)成的SYN攻擊工具���。1����、windows系統(tǒng)下的SYN工具以synkill.exe為例�����,運(yùn)行
7����、工具,選擇隨機(jī)的源地址和源端囗����,并填寫目標(biāo)機(jī)器地址和TCP端囗,激活運(yùn)行���,很快就會(huì)發(fā)現(xiàn)目標(biāo)系統(tǒng)運(yùn)行緩慢����。如果攻擊效果不明顯�,可能是目標(biāo)機(jī)器并未開啟所填寫的TCP端囗或者防火墻拒絕訪問該端囗,此時(shí)可選擇允許訪問的TCP端囗�����,通常�,windows系統(tǒng)開放tcp139端囗,UNIX系統(tǒng)開放tcp7�、21、23等端囗���。四��、檢測(cè)SYN攻擊檢測(cè)SYN攻擊非常的方便���,當(dāng)你在服務(wù)器上看到大量的半連接狀態(tài)時(shí)���,特別是源IP地址是隨機(jī)的,基本上可以斷定這是一次SYN攻擊�。我們使用系統(tǒng)自帶的netstat工具來檢測(cè)SYN攻擊:#netsta
8、t-n-pTCPtcp0010.11.11.11:23124.173.152.8:25882SYN_RECV-tcp0010.11.11.11:23236.15.133.204:2577SYN_RECV-tcp0010.11.11.11:23127.160.6.129:51748SYN_RECV-tcp0010.11.11.11:23222.2
