当前位置：首页 -> 网络安全 -> 基础知识 -> SYN Flood攻击的基本原理

SYN Flood攻击的基本原理

时间： 2021-07-31 作者：daque

syn flood是暂时最时髦的dos（中断效劳报复）与ddos（散布式中断效劳报复）的办法之一，这是一种运用tcp和议缺点，发送洪量臆造的tcp贯穿乞求，进而使得被报复方资源耗尽（cpu满负载或外存不及）的报复办法。

　　要领会这种报复的基础道理，仍旧要从tcp贯穿创造的进程发端说起：

大师都领会，tcp与udp各别，它是鉴于贯穿的，也即是说：为了在效劳端和存户端之间传递tcp数据，必需先创造一个假造通路，也即是tcp贯穿，创造tcp贯穿的规范进程是如许的：

　　开始，乞求端（存户端）发送一个包括syn标记的tcp报文，syn即同步（synchronize），同步报文会指明存户端运用的端口以及tcp贯穿的初始序号；

　　第二步，效劳器在收到存户端的syn报文后，将归来一个syn+ack的报文，表白存户端的乞求被接收，同声tcp序号被加一，ack即确认（acknowledgement）。

　　第三步，存户端也归来一个确认报文ack给效劳器端，同样tcp序列号被加一，到此一个tcp贯穿实行。

之上的贯穿进程在tcp和议中被称为三次拉手（three-way handshake）。

　　题目就出在tcp贯穿的三次拉手中，假如一个用户向效劳器发送了syn报文后遽然死机或掉线，那么效劳器在发出syn+ack应答报文后是没辙收到存户端的ack报文的（第三次拉手没辙实行），这种情景下效劳器端普遍会重试（再次发送syn+ack给存户端）并等候一段功夫后抛弃这个未实行的贯穿，这段功夫的长度咱们称为syn timeout，普遍来说这个功夫是秒钟的数目级（大概为30秒-2秒钟）；一个用户展示特殊引导效劳器的一个线程等候1秒钟并不是什么很大的题目，但即使有一个歹意的报复者洪量模仿这种情景，效劳器端将为了保护一个特殊大的半贯穿列表而耗费特殊多的资源----多如牛毛的半贯穿，纵然是大略的生存并遍历也会耗费特殊多的cpu功夫和外存，而且还要连接对这个列表中的ip举行syn+ack的重试。本质上即使效劳器的tcp/ip栈不够宏大，结果的截止常常是仓库溢出解体---纵然效劳器端的体例充满宏大，效劳器端也将忙于处置报复者臆造的tcp贯穿乞求而无暇搭理存户的平常乞求（究竟存户端的平常乞求比例特殊之小），此时从平常存户的观点可见，效劳器遗失相应，这种情景咱们称作：效劳器端遭到了syn flood报复（syn洪流报复）。

　　从提防观点来说，有几种大略的处置本领：

　　第一种是减少syn timeout功夫，因为syn flood报复的功效在于于效劳器上维持的syn半贯穿数，这个值=syn报复的频度 x syn timeout，以是经过减少从接受到syn报文到决定这个报文失效并抛弃改贯穿的功夫，比方树立为20秒以次（过低的syn timeout树立大概会感化存户的平常考察），不妨成倍的贬低效劳器的负载。

　　第二种本领是树立syn cookie，即是给每一个乞求贯穿的ip地方调配一个cookie，即使短功夫内贯串遭到某个ip的反复syn报文，就认定是遭到了报复，此后从这个ip地方来的包会被抛弃。

　　然而上述的两种本领只能周旋比拟原始的syn flood报复，减少syn timeout功夫仅在对方报复频度不高的情景下奏效，syn cookie更依附于对方运用如实的ip地方，即使报复者以数万/秒的速率发送syn报文，同声运用sock_raw随机改写ip报文中的源地方，之上的本领将毫无蛮横之地。

SYN Flood攻击的基本原理

相关推荐

推荐下载

热门阅览

最新排行