- 相關(guān)推薦
Syn Flood攻擊是利用TCP/IP協(xié)議的什么漏洞
在現(xiàn)實(shí)社會(huì)中,協(xié)議的使用頻率呈上升趨勢(shì),簽訂協(xié)議可以使雙方受到法律的保護(hù)。協(xié)議到底怎么寫才合適呢?下面是小編收集整理的Syn Flood攻擊是利用TCP/IP協(xié)議的什么漏洞,希望能夠幫助到大家。
Syn Flood攻擊是利用TCP/IP協(xié)議的什么漏洞1
答:客戶端通過發(fā)送在TCP報(bào)頭中SYN標(biāo)志置位的數(shù)據(jù)分段到服務(wù)端來請(qǐng)求建立連接。通常情況下,服務(wù)端會(huì)按照IP報(bào)頭中的來源地址來返回SYN/ACK置位的數(shù)據(jù)包給客戶端,客戶端再返回ACK到服務(wù)端來完成一個(gè)完整的連接(Figure-1)。
在攻擊發(fā)生時(shí),客戶端的來源IP地址是經(jīng)過偽造的(spoofed),現(xiàn)行的IP路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā),該IP包到達(dá)目的主機(jī)后返回路徑無法通過路由達(dá)到的,于是目的主機(jī)無法通過TCP三次握手建立連接。在此期間因?yàn)門CP緩存隊(duì)列已經(jīng)填滿,而拒絕新的連接請(qǐng)求。目的主機(jī)一直嘗試直至超時(shí)(大約75秒)。這就是該攻擊類型的基本機(jī)制。
發(fā)動(dòng)攻擊的主機(jī)只要發(fā)送較少的,來源地址經(jīng)過偽裝而且無法通過路由達(dá)到的SYN連接請(qǐng)求至目標(biāo)主機(jī)提供TCP服務(wù)的端口,將目的主機(jī)的.TCP緩存隊(duì)列填滿,就可以實(shí)施一次成功的攻擊。實(shí)際情況下,發(fā)動(dòng)攻擊時(shí)往往是持續(xù)且高速的。
SYN Flood攻擊
1、攻擊原理
SYN Flood是拒絕服務(wù)攻擊的一種,所謂拒絕服務(wù)攻擊,即想辦法讓目標(biāo)機(jī)器停止提供服務(wù)。
這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。
如果一個(gè)計(jì)算機(jī)系統(tǒng)崩潰或其帶寬耗盡或其硬盤被填滿,導(dǎo)致其不能提供正常的服務(wù),就構(gòu)成拒絕服務(wù)。
TCP的三次握手
由客戶端向服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的數(shù)據(jù)包,表明請(qǐng)求與服務(wù)器進(jìn)行通信,此時(shí)同服務(wù)器建立了第一次握手。
服務(wù)器會(huì)返回一個(gè)SYN+ACK的報(bào)文,表示客戶端的請(qǐng)求被接受,此時(shí)同服務(wù)器建立了第二次握手。
最后客戶端在發(fā)送一個(gè)確認(rèn)報(bào)文ACK,此時(shí)同服務(wù)器建立了第三次握手,TCP連接成功。
如果發(fā)生了SYN Flood攻擊,攻擊者會(huì)在短時(shí)間內(nèi)偽造并不存在的IP地址,向服務(wù)器不斷的發(fā)送SYN包,并且建立第一次握手,服務(wù)器則會(huì)回復(fù)ACK確認(rèn)報(bào)文,建立第二次握手,在進(jìn)行第三次握手時(shí),服務(wù)器等待攻擊者的確認(rèn),但此時(shí)攻擊者并不會(huì)回復(fù),服務(wù)器就會(huì)不斷重發(fā)直至超時(shí),這些偽造的SYN包將長時(shí)間占用未連接隊(duì)列,其他客戶的正常的SYN請(qǐng)求不能被接收,目標(biāo)系統(tǒng)運(yùn)行緩慢,造成網(wǎng)絡(luò)擁堵。
2、SYN Flood攻擊簡單示例
同一局域網(wǎng)下
攻擊者:Kali Linux IP:192.168.220.136
被攻擊者:Windows XP IP:192.168.220.142
1)查看兩虛擬機(jī)的IP地址,判斷是否在同一網(wǎng)段下
Kali Linux:ifconfig
Windows XP:ipconfig
2)測(cè)試連通性(用ping指令)
3)在Windows XP上打開任務(wù)管理器——性能(監(jiān)控CPU的利用率)
4)開始SYN Flood攻擊
Kali Linux:hping3 -q -n -a 偽造源IP地址 -S -s 53 --keep -p 445 --flood 目標(biāo)IP地址
5)查看結(jié)果
查看Windows XP 的任務(wù)管理器,發(fā)現(xiàn)在被攻擊的同時(shí),很快Windows XP的性能使用率就已達(dá)到100%(居高不下)
表明攻擊成功。
6)wireshark抓包觀察
可以發(fā)現(xiàn)有大量的源地址為偽造地址(1.1.1.1)的TCP包。
目的主機(jī)處理不過來,以致于資源逐步被耗盡,最終導(dǎo)致系統(tǒng)崩潰。
Syn Flood攻擊是利用TCP/IP協(xié)議的什么漏洞2
一、syn flood攻擊原理是什么?
syn flood攻擊利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷,通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文,就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿,從而阻止其他合法用戶進(jìn)行訪問。這種攻擊早在1996年就被發(fā)現(xiàn),但至今仍然顯示出強(qiáng)大的生命力。很多操作系統(tǒng),甚至防火墻、路由器都無法有效地防御這種攻擊,而且由于它可以方便地偽造源地址,追查起來非常困難。
客戶端發(fā)起連接的報(bào)文即為syn報(bào)文。當(dāng)攻擊者發(fā)送大量的偽造IP端口的syn報(bào)文時(shí),服務(wù)端接收到syn報(bào)文后,新建一共表項(xiàng)插入到半連接隊(duì)列,并發(fā)送syn ack。但由于這些syn報(bào)文都是偽造的,發(fā)出去的syn ack報(bào)文將沒有回應(yīng)。TCP是可靠協(xié)議,這時(shí)就會(huì)重傳報(bào)文,默認(rèn)重試次數(shù)為5次,重試的間隔時(shí)間從1s開始每次都番倍,分別為1s + 2s + 4s + 8s +16s = 31s,第5次發(fā)出后還要等32s才知道第5次也超時(shí)了,所以一共是31 + 32 = 63s。
也就是說一共假的syn報(bào)文,會(huì)占用TCP準(zhǔn)備隊(duì)列63s之久,而半連接隊(duì)列默認(rèn)為1024,系統(tǒng)默認(rèn)不同,可 cat /proc/sys/net/ipv4/tcp max syn backlog c查看。也就是說在沒有任何防護(hù)的情況下,每秒發(fā)送200個(gè)偽造syn包,就足夠撐爆半連接隊(duì)列,從而使真正的連接無法建立,無法響應(yīng)正常請(qǐng)求。
一臺(tái)普通的每秒就可以輕松偽造100w個(gè)syn包。因此即使把隊(duì)列大小調(diào)大最大也無濟(jì)于事。
二、如何防范syn flood攻擊?
針對(duì)syn flood攻擊有2種比較通用的防范機(jī)制:
1.cookie源認(rèn)證:
原理是syn報(bào)文首先由DDOS防護(hù)系統(tǒng)來響應(yīng)syn ack。帶上特定的sequence number (記為cookie)。真實(shí)的客戶端會(huì)返回一個(gè)ack 并且Acknowledgment number 為cookie+1。而偽造的客戶端,將不會(huì)作出響應(yīng)。這樣我們就可以知道那些IP對(duì)應(yīng)的客戶端是真實(shí)的,將真實(shí)客戶端IP加入白名單。下次訪問直接通過,而其他偽造的syn報(bào)文就被攔截。防護(hù)示意圖如下:
2.reset認(rèn)證:
Reset認(rèn)證利用的.是TCP協(xié)議的可靠性,也是首先由DDOS防護(hù)系統(tǒng)來響應(yīng)syn。防護(hù)設(shè)備收到syn后響應(yīng)syn ack,將Acknowledgement number (確認(rèn)號(hào))設(shè)為特定值(記為cookie)。當(dāng)真實(shí)客戶端收到這個(gè)報(bào)文時(shí),發(fā)現(xiàn)確認(rèn)號(hào)不正確,將發(fā)送reset報(bào)文,并且sequence number 為cookie + 1。
而偽造的源,將不會(huì)有任何回應(yīng)。這樣我們就可以將真實(shí)的客戶端IP加入白名單。
通常在實(shí)際應(yīng)用中還會(huì)結(jié)合首包丟棄的方式結(jié)合源認(rèn)證一起使用,首包丟棄原理為:在DDOS防護(hù)設(shè)備收到syn報(bào)文后,記錄5元組,然后丟棄。正常用戶將重傳syn報(bào)文,防護(hù)設(shè)備在收到報(bào)文命中5元組,并且在規(guī)定時(shí)間內(nèi),則轉(zhuǎn)發(fā)。當(dāng)重傳syn報(bào)文到達(dá)一定閥值時(shí),在啟用上述的源認(rèn)證。這樣就能減少反射syn ack報(bào)文的數(shù)量,緩解網(wǎng)絡(luò)擁堵,同時(shí)對(duì)防護(hù)不產(chǎn)生影響。
【Syn Flood攻擊是利用TCP/IP協(xié)議的什么漏洞】相關(guān)文章:
TCP/IP安全性研究09-01
TCP/IP在網(wǎng)絡(luò)中的高效配置10-06
嵌入式系統(tǒng)的TCP/IP協(xié)議棧的研究與設(shè)計(jì)08-29
具有TCP/IP協(xié)議的智能開關(guān)控制器的研究09-01
TCP/IP在網(wǎng)絡(luò)中的高效配置理工論文07-23
在TMS320VC5402上實(shí)現(xiàn)的嵌入式TCP/IP協(xié)議棧10-10
基于嵌入式TCP/IP的在線簽名數(shù)據(jù)采集系統(tǒng)08-29
嵌入式TCP/IP協(xié)議單片機(jī)技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用08-29