TCP连接攻击

最新推荐文章于 2024-05-21 15:28:17 发布
最新推荐文章于 2024-05-21 15:28:17 发布
阅读量7k 收藏 9
点赞数 10
分类专栏: VC++

TCP连接耗尽攻击与防御原理

攻击原理

连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的TCP连接,耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型:

  • 完成三次握手后,不发送任何报文,一直维持这些TCP连接。
  • 完成三次握手后,立刻发送FIN或RST报文,释放本端连接,同时快速发起新的连接。
  • 连接过程中呈现给服务器端很小的TCP windows size,导致服务器TCP协议栈资源耗尽。
  • 发送大量TCP重传请求,以很小的流量即可导致被攻击网络上行链路拥塞。
防御原理

针对此攻击会耗尽服务器的TCP连接资源的特点,Anti-DDoS设备对目的IP地址的新建连接速率和并发连接数分布进行统计,当新建连接速率或并发连接数大于阈值时,则触发对源IP地址的相应检查,当检查发现异常时,将异常源IP地址加入黑名单,切断其TCP流量。

  • 源IP地址新建连接速率检查:启动源IP地址新建连接速率检查后,如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值,则将该源IP地址判定为攻击源。
  • 源IP地址并发连接数检查:启动源IP地址并发连接数检查后,如果某个源IP地址的TCP并发连接数大于阈值,则将该源IP地址判定为攻击源。
  • 慢速连接速率检查:启动慢速连接速率检查后,统计同一源IP地址对同一目的IP地址的连接次数,在各统计时间间隔内,如果连续多次连接数相同并超过阈值,则判定为TCP慢速连接攻击。

  • 异常会话检查:如果在检查周期内,某个源IP地址发起的TCP异常会话的连接数大于阈值时,则将该源IP地址判定为攻击源。判定TCP异常会话依据如下:

    • 空连接检查:如果在检查周期内,在某条TCP连接上通过的报文数小于阈值,则判定该连接为异常连接。
    • 重传会话检查:当某条TCP连接上重传报文数量大于阈值时,则判定该连接为异常连接。
    • 慢启动连接检查:当某条TCP连接上通过的报文窗口小于阈值时,则判定该连接为异常连接。

    当异常会话数超过一定数量时,将此源加入黑名单。异常会话数量可配置。

                                   记录一下,面试者问我tcp连接一直来,怎么防,我他妈哪里知道啊....
keivin2006
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
TCP连接监控.rar
04-05
4. 安全性:监控TCP连接有助于发现未经授权的尝试,如SYN Flood攻击,这种攻击通过大量发送SYN报文段,消耗服务器资源,导致拒绝服务。 易语言是一种简洁明了的编程语言,其源码易于理解和学习。通过分析和实践...
linux下2个检查tcp连接的命令
09-15
在Linux操作系统中,管理和监控TCP连接对于系统管理员来说至关重要,因为这可以帮助他们了解系统的网络活动、性能瓶颈以及可能的安全问题。本篇文章将详细介绍两个用于检查Linux下TCP连接的命令:`netstat` 和 `ss`...
TCP连接管理相关的攻击
天地孤影任我行的博客
03-04 2292
SYN泛洪 SYN泛洪是一种TCP拒绝服务攻击,在这种攻击中一个或多个恶意的客户端产生一系 列TCP连接尝试(SYN报文段),并将它们发送给一台服务器,它们通常采用“伪造”的 (例如,随机选择)源IP地址。服务器会为每一条连接分配一定数量的连接资源。由于连接 尚未完全建立,服务器为了维护大量的半打开连接会在耗尽自身内存后拒绝为后续的合法连 接请求服务。 解决方法 SYN Cookie是对TCP服务器端的三次握手做一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器接收到T
慢速攻击是什么,如何进行有效的防护
HoewDec的博客
05-21 608
客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。和CC攻击一样,只要Web服务器开放了Web服务,那么它就可以是一个靶子,HTTP协议在接收到request之前是不对请求内容作校验的,所以即使你的Web应用没有可用的form表单,这个攻击一样有效。
TCP之半连接攻击 & 全连接攻击
或左的博客
03-09 2733
面经上看到了半连接攻击的问题,跟自己想的差不多,这里简单总结一下。 半连接攻击 在正常情况下,客户端连接服务端需要通过三次握手,首先客户端构造一个SYN连接数据包发送至服务端,自身进入SYN_SEND状态,当服务端收到客户端的SYN包之后,为其分配内存核心内存,并将其放置在半连接队列中,服务端接收客户SYN包并会向客户端发送一个SYN包和ACK包,此刻服务端进入SYN_RECV态。客户端收到包之后,再次向服务端发送ACK确认包。至此连接建立完成,双方都进入ESTABLSHEDZ状态。半连接就是通过不断地构造
TCP连接耗尽攻击&异常报文攻击与防御
qq_32044265的博客
04-07 1237
连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的 TCP 连接,耗尽服务器的 TCP 连接资源。 TCP报文标志位包括URG、 ACK、 PSH、 RST、 SYN、 FIN六位,这6个标志位在TCP交互过程中各司其职,标志位置必须严格遵循TCP规范。如果不遵循规范随意将标志位置0或置1,这类报文称为TCP异常报文。接收方处理这些异常报文时会消耗系统资源,甚至可能会导致系统崩溃。
TCP Flood攻击实验
aI_Zzx的博客
09-29 3553
希望能够帮助到正在学习网络攻防滴同学们,还望佬们多多指教Doge
常见tcp/ip网络攻击方式分析
m0_70655343的博客
10-18 2393
目前情况下,已经分配的该字段的值都是小于 100 的,因此,一个带大于 100 的协议字段的 IP 报文,可能就是不合法的,这样的报文可能对一些计算机操作系统的协议栈进行破坏。一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路由表,而不管报文的源地址是什么,因此,这样就 可能面临一种危险: 如果一个攻击者向一台目标计算机发出一个报文, 而把报文的源地址填写为第三方的一个 IP 地址,这样这个报文在到达目标计算机后, 目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的 IP 地址欺骗攻击
TCP之SYN攻击
weixin_44390164的博客
07-25 1202
当客户端向服务端发起连接请求时: 服务端的资源分配时在第二次握手时分配的,而客户端资源时在完成第三次握手时分配的。所以服务端容易收到SYN泛红攻击。 SYN攻击就是客户端在短时间内伪造大量不存在的IP地址,并向服务端不断发送SYN包,服务端则回复确认包,并等待客户端确认。但由于源地址不存在,因此服务端就需要不断发生超时重传直至超时。 这些伪造的SYN包将长时间占用半连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引擎网络拥塞甚至系统瘫痪。 如何检测SYN攻击: 查看服务器上是否能看到大量的半连
Tcp连接的建立及SYN洪泛攻击
修心
11-21 2544
Tcp连接的建立及SYN洪泛攻击 Tcp连接的建立(三次握手) ​ 连接建立前,服务器进程处于LISTEN状态,等待客户的连接请求。 ​   一: 客户端发送tcp连接请求报文段,Tcp首部SYN=1,seq=x。(Tcp规定,SYN报文段不能携带数据,但要消耗掉一个序号) ​   二: 服务器的Tcp收到连接请求报文段后,如果同意建立连接,则向客户端发回确认,并为该Tcp连接分配缓存和变量。确认报文段中,SYN=1,ACK=1,ack=x+1,seq=y(自己选择的一个初始序号y)。(确认报文段中
TCP攻击
weixin_47726676的博客
06-12 3248
目录TCP协议tcp报文组成TCP协议中的常见计时器TCP三次握手方法建立连接TCP终止连接过程常见TCP攻击 TCP协议 tcp报文组成 源端口号(Source Port,16比特)和目的端口号(Destination Port,16比特):分别表示发送方和接收方的端口号。 序号(Sequence Number,32比特):该TCP段中携带的用户数据中第一个字节的编号,编号是以字节为单位的。可以表示4GB数据,足够保证在分组的生命期内不会出现重复的顺序号。 确认号(Acknowledgment Numb
TCP连接的状态详解以及故障排查
热门推荐
黄规速博客:学如逆水行舟,不进则退
08-20 22万+
我们通过了解TCP各个状态,可以排除和定位网络或系统故障时大有帮助。(总结网络上的内容) 1、TCP状态 了解TCP之前,先了解几个命令: linux查看tcp的状态命令: 1)、netstat -nat 查看TCP各个状态的数量 2)、lsof -i:port 可以检测到打开套接字的状况 3)、 sar -n SOCK 查看tcp创建的连接数 4)、tcpdump -iany...
API监控TCP连接.rar
04-04
本压缩包"API监控TCP连接.rar"可能包含了一个用易语言编写的源码示例,用于监控TCP连接的API调用情况。易语言是一种简洁、直观的中文编程语言,旨在让编程变得更加简单。 API监控主要关注以下几个方面: 1. **性能...
TCP连接管理1
08-04
"TCP连接管理详解" TCP连接管理是计算机网络中的一种重要机制,它负责管理TCP连接的建立、维持和终止。TCP连接管理是基于OSI模型的第四层,即传输层,在这个层次上,TCP协议负责将数据分段、排序、重组和确认,以...
TCP连接测试.rar
07-09
- 系统管理员:监控服务器的TCP连接状态,确保服务器没有被恶意占用或遭受攻击。 5. **TCP的优缺点**: - 优点:提供可靠的数据传输,顺序传输,错误检测与纠正,流量控制,拥塞控制等。 - 缺点:相对于UDP,TCP...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
最新发布
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
tcp flood攻击
10-05
TCP flood攻击是一种利用TCP协议的漏洞进行的网络攻击攻击者向目标服务器发送大量的TCP连接请求,占用服务器资源并导致服务不可用。攻击者可以发送大量的伪造源IP地址的TCP SYN请求,使得服务器在响应请求时耗尽...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值