认识 SYN Flood 攻击

已于 2024-03-12 14:05:23 修改
阅读量1.1k 收藏 25
点赞数 11
分类专栏: TCP 文章标签: TCP SYN Flood
于 2024-02-01 17:07:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K346K346/article/details/135977213
版权
本文详细解释了SYNFlood攻击的工作原理,涉及TCP三次握手过程,半连接队列和全连接队列的作用。防范措施包括增大半连接队列容量、开启SYNCookie以及减少SYN+ACK报文重传次数。
摘要由CSDN通过智能技术生成

文章目录

1.什么是 SYN Flood 攻击?

SYN Flood 是互联网上最原始、最经典的 DDoS(Distributed Denial of Service)攻击之一。

SYN 报文指的是 TCP 协议中的 Synchronize 报文,是 TCP 三次握手过程中的首个报文。让我们先来了解一个正常的 TCP 三次握手过程。
在这里插入图片描述
TCP 建立连接需要三次握手,假设攻击者短时间伪造不同 IP 地址的 SYN 报文,服务端每接收到一个 SYN 报文,就进 SYN-RECV 状态。当服务端发送出去的 ACK + SYN 报文,无法得到未知 IP 主机的 ACK 应答,久而久之就会占满服务端的半连接队列,使得服务端不能为正常用户服务。

这就是 SYN Flood 攻击。

在这里插入图片描述

2.半连接与全连接队列

什么是 TCP 半连接和全连接队列?

TCP 三次握手时,Linux 内核会维护两个队列:

  • 半连接队列,也称 SYN 队列。
  • 全连接队列,也称 Accept 队列。

我们先来看下 Linux 内核的半连接队列与全连接队列是如何工作的?

在这里插入图片描述

  • 当服务端接收到客户端的 SYN 报文时,会创建一个半连接对象,然后将其加入到内核的「 SYN 队列」。
  • 紧接着服务端会发送 SYN + ACK 给客户端,等待客户端回应 ACK 报文。
  • 服务端接收到 ACK 报文后,从「 SYN 队列」取出半连接对象,然后创建一个新的连接对象放入到「 Accept 队列」。
  • 应用程序通过调用 socket 接口 accpet() 函数,从「 Accept 队列」取出连接对象。

不管是半连接队列还是全连接队列,都有最大长度限制,超过限制时,默认情况都会丢弃报文。

SYN Flood 攻击方式最直接的表现是会把 TCP 半连接队列打满,当 TCP 半连接队列满了,后续再收到 SYN 报文就会丢弃,导致客户端无法和服务端建立连接。

3.如何防范 SYN Flood 攻击?

SYN Flood 的目的是占满服务器的连接数,消耗服务器的系统资源。对于服务器自身来说,最直接的做法就是提高服务能力,比如组建集群,升级硬件。但是这种方式成本巨大,且对于海量的攻击报文来说,并没有太大作用,仅多撑几分钟甚至几秒而已。

防范 SYN Flood 攻击,可以有以下几种方法:

(1)增大半连接队列

增大 TCP 半连接队列,要同时增大下面这三个参数:

增大 /proc/sys/net/ipv4/tcp_max_syn_backlog
增大 listen() 函数中的 backlog
增大 /proc/sys/net/core/somaxconn

要想增大半连接队列,我们得知不能只单纯增大 tcp_max_syn_backlog 的值,还需一同增大 somaxconn 和 backlog,也就是增大全连接队列。否则,只单纯增大 tcp_max_syn_backlog 是无效的。

(2)开启 SYN Cookie

开启 SYN Cookie 可以在不使用半连接队列的情况下建立连接,相当于绕过半连接建立连接。

在这里插入图片描述

  • 当「SYN 队列」满之后,后续服务端收到 SYN 包,不会丢弃,而是根据算法,计算出一个 Cookie 值。Cookie 包含了一些与连接相关的信息,如初始序列号等,但不会在服务器端保存连接状态。
  • 服务端将 Cookie 值放到第二次握手报文的「序列号」里回给客户端。
  • 服务端接收到客户端的 ACK 报文时,通过将 ACK 报文减去 1 获取 Cookie,然后根据 Cookie 判断报文的合法性并重建连接,然后将该连接对象放入「Accept 队列」。
  • 最后应用程序通过调用 accpet() 函数,从「Accept 队列」取出连接。

可以看到,当开启了 SYN Cookie 了,即使受到 SYN Flood 攻击导致 SYN 队列满时,也能保证后续正常连接能够建立。

net.ipv4.tcp_syncookies 参数主要有以下三个值:

0 值,表示关闭
1 值,表示仅当 SYN 队列放不下时,再启用
2 值,表示无条件开启

那么在应对 SYN 攻击时,只需要设置为 1 即可。

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

(3)减少 SYN+ACK 报文重传次数

当服务端受到 SYN Flood 攻击时,会有大量处于 SYN-RECV 状态的 TCP 连接。处于这个状态的 TCP 会重传 SYN+ACK 报文,当重传次数达到上限后,就会断开连接。

那么针对 SYN Flood 攻击,我们可以减少 SYN+ACK 的重传次数,以加快处于 SYN-REVC 状态的 TCP 连接断开。

SYN+ACK 报文的最大重传次数由 tcp_synack_retries 内核参数决定(默认值是 5 次),比如减少到 2 次:

echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

参考文献

SYN 洪水DDoS 攻击 - Cloudflare
什么是SYN Flood?如何防御SYN Flood? - 华为
4.1 TCP 三次握手与四次挥手面试题 - 小林coding
TCP 半连接队列和全连接队列满了会发生什么?又该如何应对?
SYN cookies - wikipedia
RFC 793 - Transmission Control Protocol (TCP)

恋喵大鲤鱼
关注
专栏目录
SYN Flood(泛洪攻击
m0_56302003的博客
11-21 2021
原理利用TCP连接的两个缺陷。服务器在从SYN_RECV状态切换到Establish状态时,有一个最长等待时间SYNTimeout,一般是分钟量级的。对IP完全信任报文传输过程中,对报文的源IP是完全信任的。SYN Flood攻击类别。
使XP支持SYN扫描
01-17
SYN扫描,也称为半开连接扫描或SYN flood攻击,是网络安全领域的一个重要概念,通常用于探测网络中开放的端口和服务。在默认情况下,Windows XP可能不直接支持这种扫描方式,因为出于安全考虑,微软可能会限制或禁用...
Syn-Flood攻击
hl1293348082的专栏
04-06 9714
Syn-Flood Attack是一种基于TCP/IP协议的拒绝服务攻击,它会造成服务器TCP连接数达到最大上限,从而不能为新的用户的正常访问请求建立TCP连接,以此达到攻击目的。这种攻击方式危害巨大,不仅会让用户体验不佳,更直接的影响是对企业造成严重的经济损失!所以我们有必要了解这种攻击的原理和防御措施。 0x01. TCP/IP三次握手 1.第一次握手:Client将标志位(也就是flags位)SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SEN
常见DDoS攻击SYN flood攻击
最新发布
Grand_whh的博客
08-14 486
SYN Flood攻击是一种典型的DDoS攻击方式,它利用了TCP协议的三次握手机制。在正常情况下,TCP连接的建立需要经过三次握手:客户端发送SYN报文给服务器以初始化连接,服务器回应SYN-ACK报文,客户端再发送ACK报文以完成连接建立。然而,在SYN Flood攻击中,攻击者发送大量伪造源IP地址的SYN报文给目标服务器,服务器为这些半开放的连接分配资源并等待完成三次握手,但因为源地址是伪造的,服务器收不到预期的ACK报文,导致服务器CPU和内存资源被耗尽,无法处理正常用户的连接请求。
SYNFlood攻击
weixin_46411728的博客
12-03 696
今天继续给大家分享一个小的安全实验:SYN Flood 攻击 攻击原理:利用TCP三次握手的机制,在进行两次握手后,不进行第三次握手,对目标主机造成资源占据,CPU迅速占满,目标主机死机 实验环境: 攻击者:kali Linux 被攻击者:window xp 第一步:检查两个主机是否在同一网段 window xp:输入“ipconfig” 查找IP地址,如下图所示: 此时显示:window xp IP地址是:192.168.1.228 kali: 输入“ping 192.168.1.228” 检查
Syn Flood 攻击
1315963786的博客
03-15 3439
SYN Flood攻击指的是一种常见的拒绝服务攻击。这种攻击可能对主机实施,阻止主机处理连接的工作。这里解释一下, TCP是传输控制协议,是大多数数据在互联网上传输的主要手段。为了使用TCP协议打开互联网上的一台主机的连接,在客户机和服务器之间将产生“三次握手" SYN Flood攻击是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包...
SYN_Flood攻击
likeChocolates的博客
10-11 624
最近我们几台用于计数的LINUX服务器受到异常数据包攻击。表现出来的是dmesg及messages中出现大量的:TCP: drop open request from 125.71.171.187/9075 NET: 987 messages suppressed. 之类的信息,服务器开始响应缓慢并丢失正常的计数数据。这是典型的SYN Flood攻击(或开放半连接攻击)。但很多人会以为服务器软
组合式SYN Flood网络安全综合实验教学改革研究.pdf
09-20
基于此,研究者提出了以SYN Flood攻击和防御实验为案例,采用多场景组合式教学设计的研究,旨在推动高校计算机实验教学信息化改革。 首先,我们来看SYN Flood攻击的工作原理。SYN Flood是一种典型的拒绝服务(DoS)...
多线程SYN洪水攻击实战技巧
SYN洪水攻击是一种常见的网络攻击手法,利用TCP协议的三次握手过程中的漏洞,向目标服务器发送大量伪造的TCP连接请求,导致服务器资源耗尽,无法正常为合法用户提供服务。 ### 1.2 攻击原理解析 攻击者发送大量...
实例分析:多线程SYN洪水攻击在局域网中的实际应用场景
SYN洪水攻击是一种典型的DDoS(分布式拒绝服务)攻击方式,攻击者通过发送大量伪造的TCP连接请求(SYN包)来占用目标主机资源,使得合法用户无法建立有效连接。 ## 1.2 多线程技术介绍 多线程技术是一种利用计算机...
awl-0.2.tar.gz
01-03
描述中提到的“网上的一个syn flood攻击的代码,多线程写的”是指这个压缩包包含的代码可能是用于模拟或防御SYN Flood攻击的。SYN Flood是一种著名的DDoS(分布式拒绝服务)攻击,它利用TCP连接三次握手过程的缺陷,...
SYNFlood
04-01
SYN洪水 SYN泛滥是一种DoS攻击攻击者将一系列SYN请求发送到目标服务器,以尝试消耗足够的服务器资源以使系统对合法流量无响应 。 SYN请求和SYN数据包是一样的东西 SYN Flood攻击如何工作? SYN Flood攻击通过利用TCP连接的握手过程来工作。 在正常情况下,TCP表现出三个不同的过程以建立连接( )。 客户端通过向服务器发送SYN (同步)数据包来请求连接。 然后,服务器以SYN-ACK数据包进行响应,以便对通信进行ACK (确认)。 客户端发送一个ACK数据包以确认已从服务器收到该数据包,并建立了连接。 完成数据包发送和接收的此序列后,TCP连接将打开并能够发送和接收数据。 这称为TCP三向握手。 该技术是使用TCP建立的每个连接的基础。 为了创建DoS,攻击者利用了以下事实:接收到初始SYN数据包后,服务器将以一个或多个SYN-ACK数据包进行响
TCP协议的SYN Flood攻击原理详细讲解
10-09
TCP协议的SYN Flood攻击,这种攻击方式虽然原始,但是生命力顽强,长久以来在DDoS圈里一直处于德高望重的地位。SYN Flood攻击的影响也不容小觑,从攻击中可以看到,以SYN Flood为主的数十G流量,很容易就造成被攻击目标网络瘫痪。但TCP类的攻击远不止如此,本篇我们就来全面讲解基于TCP协议的各种DDoS攻击方式和防御原理。
SYN flood攻击
11-05
syn攻击,使用winpcap编写,使用前请先配置vs2010
synflood.zip
05-25
在本机(linux)上 模拟syn-flood攻击,验证内核syn-cookie机制。gcc编译后即可使用,启动后使用tcpdump可以抓包
多线程自动化SynFlood[Linux下源码]
12-22
这个代码的原版是从某个论坛上很多年前的帖子翻出来的,本人还不会熟练使用makefile,所以直接在他上面进行了开发。我也不知道很多文件有什么用,src文件夹中有代码,include中包含了头文件信息。 使用说明放在压缩包内的readme.txt,里面有详细的使用说明,我给他补充了很多功能,绝对好用,满足95%你的尝试欲望。更多功能待我有时间写好了上传,里面有我的联系方式,如果有问题请联系我。
网络安全随笔(一) | SYN Flood攻击
tyltr的博客
11-06 527
SYN攻击是Dos攻击之一,注意此处的Dos 指的是Denial of Service,简写DOS。新人千万别以为是dos操作系统。下面上干货。 有关tcp的介绍,已经在 互联网协议解析(一) | TCP 与UDP  中进行了全面的介绍。如果有需要的话,还是可以看看的。我们再回顾一下 TCP的三次握手。 在建立链接前,服务器已经开启,等待来自客户端(无论浏览器还是app等,此处把用户侧都称之为...
什么是SYN Flood攻击?
weixin_30248399的博客
08-30 1180
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。 说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handshake...
DDOS渗透与攻防(二)之SYN-Flood攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-28 1986
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handshake)。假设连接发起方是A,连接接受方是B,即B在某个端口(Port)上监听A发出的连接请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值