syn flood attack |
您所在的位置:网站首页 › 会计专硕哪个方向比较好 › syn flood attack |
有没有这种情况:用机器人发起很多个对游戏服的tcp连接,建立连接后也不发数据,就是让服务器去创建N多socket以达到破坏游戏目的的(占用服务器进程打开文件数量、如此多的socket对网络模型的事件监听多少应该有些影响)?
突然想到上述问题,群里发问,答曰syn flood attack,好奇,度娘之,得如下文章。虽答非所问,然多学无害,故,转载。
原文http://www.net130.com/CMS/Pub/network/network_security/2008_08_21_42374_2.htm
现在的攻击者,无所不在了.对于一些攻击手法,很多高手也都是看在眼里而没什么实质性防范措施.除了改端口,换IP,弄域名..还能做什么? 本篇文章介绍了TCP SYN Flood攻击的原理机制/检测与防范及防御方法,希望能给大伙一个思路. TCP SYN Flood攻击的机制 客户端通过发送在TCP报头中SYN标志置位的数据分段到服务端来请求建立连接。通常情况下,服务端会按照IP报头中的来源地址来返回SYN/ACK置位的数据包给客户端,客户端再返回ACK到服务端来完成一个完整的连接(Figure-1)。 在攻击发生时,客户端的来源IP地址是经过伪造的(spoofed),现行的IP路由机制仅检查目的IP地址并进行转发,该IP包到达目的主机后返回路径无法通过路由达到的,于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP缓存队列已经填满,而拒绝新的连接请求。目的主机一直尝试直至超时(大约75秒)。这就是该攻击类型的基本机制。 发动攻击的主机只要发送较少的,来源地址经过伪装而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口,将目的主机的TCP缓存队列填满,就可以实施一次成功的攻击。实际情况下,发动攻击时往往是持续且高速的。 如下所示,为SYN Flood攻击过程示意图![]() ![]() 由此可以看到,这种攻击方式利用了现有TCP/IP协议本身的薄弱环节,而且攻击者可以通过IP伪装有效的隐蔽自己。但对于目的主机来说,由于无法判断攻击的真正来源。而不能采取有效的防御措施。
TCP SYN Flood检测与防范 一、分析 从上面的分析,可以看出TCP SYN Flood远程拒绝服务攻击具有以下特点: 针对TCP/IP协议的薄弱环节进行攻击; 发动攻击时,只要很少的数据流量就可以产生显著的效果; 攻击来源无法定位; 在服务端无法区分TCP连接请求是否合法。 二、系统检查 一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。 1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时; 2、通过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。![]() ![]()
一、TCP连接监控(TCP Interception) 为了有效的防范TCP SYN Flood攻击,在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时,需要尽可能的减少服务端TCP Backlog的清空时间,大多数防火墙采用了TCP连接监控的工作模式。其工作流程如下图所示:![]() ![]() 在这里,天网防火墙通过高效的算法(64K位的Hash)提供了超过30万以上的同时连接数的容量,为数据传输的高效和可靠提供了强有力地保障。 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |