SYN Flood是什么?这篇给你讲明白!

于 2024-05-21 22:54:53 发布
阅读量561 收藏 7
点赞数 7
文章标签: 网络 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a38417/article/details/139104477
版权
  • 前言

SYN Flood是互联网上最原始、最经典的DDoS(Distributed Denial of Service)攻击之一。它利用了TCP协议的三次握手机制,攻击者通常利用工具或者控制僵尸主机向服务器发送海量的变源IP地址或变源端口的TCP SYN报文,服务器响应了这些报文后就会生成大量的半连接,当系统资源被耗尽后,服务器将无法提供正常的服务。增加服务器性能,提供更多的连接能力对于SYN Flood的海量报文来说杯水车薪,防御SYN Flood的关键在于判断哪些连接请求来自于真实源,屏蔽非真实源的请求以保障正常的业务请求能得到服务。

  • 目录
  1. SYN洪泛攻击的历史和技术基础

  1. SYN Flood是如何发生的?

  1. 如何识别和防御SYN Flood?

  • SYN Flood历史和技术基础
    • 历史

早在1994年,Bill Cheswick和Steve Bellovin就发现了TCP SYN泛洪弱点[B96]。他们在《防火墙和互联网安全:击退威利黑客》(CB94)一书中加入并删除了一段关于攻击的内容。不幸的是,在接下来的两年内没有制定任何对策。

SYN泛洪攻击于1996年在Phrack杂志上首次公开,杂志发布了一个SYN泛洪攻击的描述和利用工具[P48-13]。除了一些小的错误,本文的质量足够高,非常有用,文章中的代码被广泛分发和使用。

到1996年9月,开始广泛观察到SYN泛洪袭击。特别是,针对一家ISP邮件服务器的攻击导致了众所周知的停机。CERT很快发布了一份关于此次攻击的建议[CA-96.21]。与当时已知的其他拒绝服务攻击相比,SYN泛滥尤为严重。SYN洪泛不是依赖于简单耗尽网络资源的常见暴力策略,而是针对需要消耗更少数据包的终端主机资源。

社区很快开发了许多不同的技术来防止或限制SYN泛洪攻击的影响。其中许多已经在互联网上不同程度地部署,包括终端主机和中间路由器。这些技术中的一些已经成为某些操作系统中TCP实现的重要部分,尽管有些技术与TCP规范有很大的不同,并且这些技术中没有一项技术已经被IETF过程标准化或认可。

    • 操作理论

TCP实现可以允许使用应用程序指定的IP地址和端口号对中的全部、部分或全部进入LISTEN状态。在许多常见的应用程序(如web服务器)中,远程主机的任何信息都不是预先已知或预先配置的,因此可以与服务器事先不知道其详细信息的任何客户端建立连接。这种类型的“未绑定”LISTEN是SYN洪泛攻击的目标,因为它通常由操作系统实现。

为了成功,SYN洪泛攻击依赖于受害主机TCP实现的行为。特别是,它假设受害者在收到每个TCP SYN段时为其分配状态,并且对这种状态的数量有限制,不能在任何时候保持。当前的基本TCP规范RFC 793[RFC0793]描述了传入SYN段的标准处理。RFC 793描述了传输控制块(Transmission Control Block,TCB)数据结构的概念,以存储单个连接的所有状态信息。在实践中,操作系统可能以不同的方式实现这个概念,但关键是每个TCP连接都需要一些内存空间。

根据RFC 793,当接收到连接处于LISTEN状态的本地TCP端口的SYN时,状态转换为SYN-REEVED,并且使用来自接收到的SYN段的报头字段的信息初始化一些TCB。实际上,许多操作系统不改变LISTEN中的TCB,而是复制TCB,并在副本上执行状态转换和更新。这样做使得本地TCP端口可以在几个不同的连接之间共享。这种TCB复制行为实际上对这一目的并不重要,但会影响希望通过单个TCP端口处理多个同时连接的应用程序的编写方式。这种行为的关键结果是,必须将新的(或未使用的)内存专用于复制的TCB,而不是更新已分配的内存。

例如,在Linux2.6.10网络代码中,使用“sock”结构来实现TCB概念。通过检查,这种结构需要1300多个字节才能存储在内存中。在实现较不复杂的TCP算法和选项的其他系统中,开销可能较小,尽管它通常超过280字节[SK+97]。

为了保护主机内存不被连接请求耗尽,任何时候可以驻留的TCB结构的数量通常受到操作系统内核的限制。系统因限制是全局应用还是本地应用于特定端口号而有所不同。限制是否适用于完全建立的连接以及SYN-REEVED中的连接也存在差异。通常,系统为典型的listen()系统调用实现一个参数,该参数允许应用程序为这个限制建议一个值,称为backlog。当达到backlog限制时,要么忽略传入的SYN段,要么替换backlog中未完成的连接。标准文档中没有描述使用backlog的概念,因此到达backlog时的失败行为可能在堆栈之间有所不同(例如,可能会生成TCP RST)。确切的故障行为将决定发起主机是随时间继续重新发送SYN段,还是快速停止。这些实现上的差异是可以接受的,因为它们仅在本地堆栈的资源受到约束时影响其行为,而不会导致互操作性问题。

SYN洪泛攻击并不试图使网络资源或终端主机的内存过载,而只是试图耗尽与端口号相关的缓存的半开放连接。目标是从IP地址(通常是伪造的)快速发送SYN段,这些SYN段不会生成对生成的SYN ACK的回复。通过让缓存的连接充满了虚假的半开放连接,合法的请求将被拒绝。成功的三个重要攻击参数是拦阻的大小、生成拦阻的频率以及选择IP地址进行欺骗的方式。

  • SYN Flood是如何发生的?

SYN Flood顾名思义就是用洪水一样的SYN报文进行攻击。SYN报文指的是TCP协议中的Synchronize报文,是TCP三次握手过程中的首个报文。让我们先来了解一个正常的TCP三次握手过程。

    • TCP三次握手过程

开始建立连接时,客户端发送SYN报文到服务器,等待服务器确认。SYN报文的源IP地址和端口是客户端的IP地址和端口。

服务器收到SYN报文,回应一个SYN-ACK(Synchronize-Acknowledgement)报文。SYN-ACK报文的目的P地址和端口是客户端的IP地址和端口。

客户端收到服务器的SYN-ACK报文,向服务器发送ACK报文,服务器收到ACK报文后完成三次握手,TCP连接建立成功。在连接超时之前,服务器会一直等待ACK报文,此时该连接状态为半开放连接(也被称为半连接)。半连接会占用服务器的连接数,当连接数被占满时,服务器就无法提供正常的服务了。黑客正是通过这个机制来实现SYN Flood。

    • SYN Flood的攻击过程

黑客通常通过伪造的源IP地址或端口,向服务器发送大量的SYN报文,请求建立TCP连接。由于源IP地址或端口是伪造的,服务器发送的SYN-ACK报文永远不会被真实的客户端接收和回应。极少数情况下,黑客也会使用真实源IP地址,但他们只是通过攻击工具发送海量SYN报文,工具并不会响应来自服务器SYN-ACK报文。无论如何,服务器都接收不到ACK报文,产生了大量的半连接。此时服务器需要维持一张巨大的等待列表,不停地重试发送SYN-ACK报文,同时大量的资源无法释放。当服务器被这些恶意的半连接占满时,就不会再响应新的SYN报文,从而导致正常的用户无法建立TCP连接。

  • 如何识别和防御SYN Flood?

SYN Flood的目的是占满服务器的连接数,消耗服务器的系统资源。对于服务器自身来说,最直接的做法就是提高服务能力,比如组建集群,升级硬件。但是这种方式成本巨大,且对于海量的攻击报文来说,并没有太大的作用,仅多撑几分钟甚至几秒而已。

所以,必须在这些攻击报文到达服务器之前就进行拦截。然而对于防火墙这类安全设备而言,SYN报文是正常的业务报文,防火墙的安全策略必须允许其通过,否则服务器就无法对外提供服务。如果能明确虚假源的IP地址,就能通过精细的安全策略阻止这些源发来的SYN报文。但是管理员无法预知哪些是虚假源。即使能分析出虚假源,也无法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量。

此时就需要Anti-DDoS系统的能力了,它部署在网络入口处,在服务器之前处理SYN报文,识别出虚假源,屏蔽来自这些地址的报文,只将合法的SYN报文传递给服务器。Anti-DDoS系统处理SYN报文主要有两种手段,源认证和首包丢弃。

    • 源认证

Anti-DDoS系统拦截客户端发送的SYN报文,代替服务器向客户端发送SYN-ACK报文,如果客户端不应答,则认为该客户端为虚假源;如果客户端应答,则Anti-DDoS系统认为该客户端为真实源,并将其IP地址加入白名单,在一段时间允许该源发送的所有SYN报文通过,也不做代答。

    • 首包丢弃

如果Anti-DDoS系统代替服务器应答了所有的SYN Flood攻击报文,那么性能瓶颈仅仅是从服务器转移到了Anti-DDoS系统而已。一旦Anti-DDoS系统的系统资源耗尽,攻击依旧会透传到服务器,而且大量反弹的SYN-ACK报文也会对网络造成一定的压力。Anti-DDoS系统利用首包丢弃来解决这个问题。

TCP协议的可靠性不仅体现在三次握手,还体现在超时与重传的机制。正常情况下客户端发送SYN报文后如果在一定时间没有收到服务器的SYN-ACK应答,客户端会重新发送SYN报文。Anti-DDoS系统会丢弃掉收到的第一个SYN报文。SYN Flood攻击时,黑客发送的绝大多数是变源的SYN报文,所有的SYN报文对于Anti-DDoS系统来说都是首包,都将被直接丢弃。如果客户端重传了SYN报文,Anti-DDoS系统再对该报文进行源认证。如此一来,大大减少了Anti-DDoS系统代答的压力。首包丢弃和源认证两种手段结合,对于防御SYN Flood(特别是不断变换源IP和源端口的虚假源攻击)非常有效。

    • 高防服务器

T级别数据中心,具备完善的机房设施,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源 

DDoS清洗:近源清洗多种流量清洗部署方案,无损防御各种DDoS攻击

CC攻击防御:5s发现恶意请求,10s快速阻断攻击,事前拦截、事后溯源、全方位防黑

Web应用防火墙:防SQL注入、XSS跨站,后门隔离保护、Webshell上传、非法HTTP协议请求。

德迅卫士:系统层安全软件,为用户远程桌面扫描登陆、手机短信验证登陆等。一键后台优化服务器权限、威胁组件、威胁端口。

    • 抗D盾的使用

抗D盾是新一代的智能分布式云接入系统,接入节点采用多机房集群部署模式,隐藏真实服务器IP,类似于网站CDN的节点接入,但是“抗D盾”是比CDN应用范围更广的接入方式,适合任何TCP 端类应用包括(游戏、APP、微端、端类内嵌Web等)。用户连接状态在各机房之间实时同步,节点间切换过程中用户无感知,保持TCP连接不中断,轻松应对任何网络攻击。

DDoS防御基于SDK接入的分布式防御体系,可精准定位恶意攻击者并主动隔离,具备自动化溯源能力。

CC攻击防御私有化协议二次封装,非链接限速、报文检测机制,0误杀、0漏过。

集成方式EXE封装、SDK接入,支持Windows、iOS、Android系统,分钟级集成。

网络加速智能多线节点分布,配合独家研发的隧道填补技术,保证每条线路都是优质网络

防掉线系统研发新SocKet协议,弥补WinSock链接失败会断开问题,链接失败自动无缝切换

承诺服务提供被攻击打死无理由退款,封装失败或者无效无理由退款,24小时运维在线服务

德迅云安全--陈琦琦
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SYNFlood
04-01
SYN洪水 SYN泛滥是一种DoS攻击,攻击者将一系列SYN请求发送到目标服务器,以尝试消耗足够的服务器资源以使系统对合法流量无响应 。 SYN请求和SYN数据包是一样的东西 SYN Flood攻击如何工作? SYN Flood攻击通过利用TCP连接的握手过程来工作。 在正常情况下,TCP表现出三个不同的过程以建立连接( )。 客户端通过向服务器发送SYN (同步)数据包来请求连接。 然后,服务器以SYN-ACK数据包进行响应,以便对通信进行ACK (确认)。 客户端发送一个ACK数据包以确认已从服务器收到该数据包,并建立了连接。 完成数据包发送和接收的此序列后,TCP连接将打开并能够发送和接收数据。 这称为TCP三向握手。 该技术是使用TCP建立的每个连接的基础。 为了创建DoS,攻击者利用了以下事实:接收到初始SYN数据包后,服务器将以一个或多个SYN-ACK数据包进行响
SYN flood C源代码
01-25
SYN flood是属于DOS攻击的一种典型方式,其发生方式就出现在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒 -2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,并处于崩溃状态,这种情况我们称之为:服务器端受到了SYN Flood攻击(SYN洪泛)。
什么是SYN攻击,有什么办法防御SYN攻击
最新发布
dexunyun的博客
04-06 1876
在一个SYN Flood攻击中,攻击者发送大量伪造的TCP连接请求(SYN数据包),使得目标服务器不断响应这些请求并且维护TCP连接,最终导致服务器资源耗尽无法响应合法的连接请求从而实现拒绝服务攻击。1、高防服务器:高防服务器配有专门定制的硬件防火墙,通过拦截恶意流量手段来有效防御SYN Flood攻击,同时,可以在防火墙上设置SYN转发超时参数,使其远小于服务器的timeout时间,从而及时丢弃无效的SYN请求,有效地阻挡来自恶意IP地址的SYN包。因此,延缓TCB的分配可以有效地减轻服务器资源的消耗。
基于流量自相似模型的SYN-Flood DDoS攻击防范 (2007年)
06-14
为了有效防范 SYN-Flood ( SYN洪流)这种典型的 DDoS攻击,在分析攻击原理的基础上,提出 了一种新的 SYN-Flood攻击防范方法。该方法采用了基于网络流量自相似模型的异常流量检测 技术,以及一种验证远程客户端 TCP连接有效性的智能过滤技术,并通过实验证明该方法的有 效性。
syn flood.zip
08-13
在Windows下编程实现SYN Flood攻击程序,并实现源地址伪装。
SYN_Flood:SYN_Flood
05-10
SYN_Flood Author: Jiange Mail: Created Time: 2016年01月01日 星期五 22时32分34秒 ##说明: 本代码仅用于学习,请勿用于不正当途径。 本程序主要实现了 伪装IP+SYN洪水功能,使用了多进程。 ##使用: $ gcc -o syn syn_flood.c -lpthread $ sudo ./syn <IPaddress> <port>
SYN Flood 是什么?
zhendaaaaaaaaaa的博客
07-31 550
TCP三次握手中,客户端首先发送一个SYN(同步)数据包给服务器,服务器接收到后回复一个SYN+ACK(同步+确认)数据包给客户端,最后客户端再发送一个ACK(确认)数据包给服务器,建立起TCP连接。攻击者利用这一过程,大量伪造源IP地址,向目标服务器发送大量SYN数据包,但不进行后续的ACK响应,导致服务器在等待超时后继续维护半连接状态,占用服务器资源。大量虚假SYN请求:攻击者发送大量伪造源IPSYN请求,使得服务器不断响应并维护半连接状态,从而耗尽服务器资源。
Syn-Flood攻击
hl1293348082的专栏
04-06 9364
Syn-Flood Attack是一种基于TCP/IP协议的拒绝服务攻击,它会造成服务器TCP连接数达到最大上限,从而不能为新的用户的正常访问请求建立TCP连接,以此达到攻击目的。这种攻击方式危害巨大,不仅会让用户体验不佳,更直接的影响是对企业造成严重的经济损失!所以我们有必要了解这种攻击的原理和防御措施。 0x01. TCP/IP三次握手 1.第一次握手:Client将标志位(也就是flags位)SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SEN
SYN Flood(泛洪攻击)
m0_56302003的博客
11-21 1965
原理利用TCP连接的两个缺陷。服务器在从SYN_RECV状态切换到Establish状态时,有一个最长等待时间SYNTimeout,一般是分钟量级的。对IP完全信任报文传输过程中,对报文的源IP是完全信任的。SYN Flood攻击类别。
hping3的使用
angleoldhen的专栏
08-08 6383
hping3的参数与使用
syn flood攻击详解
weixin_42845574的博客
08-12 1397
一:概念 什么是SYN Flood攻击? SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。 原理: 首先说tcp3次握手 连接发起方是A,连接接受方是B 二:原理部分 整体理解 实际上3次握手整体上可以分为两部分内容, (1)建立A→B的连接,使得B能够接收A的数据 (2...
Syn-Flood:使用原始套接字的 Syn Flood 实现
07-11
同步洪水 ========== 使用原始套接字的 Syn Flood 实现。 该项目可以扩展并作为一套工具提供,用于攻击 TCP/IP 堆栈和相关服务。 实际上: 同步洪水 测试 下一次迭代: TCP重置 MAC欺骗 ICMP洪水 圣诞扫描 同步扫描 下一次迭代: 思维 如果我有足够的时间,我会做点好事:)
测试syn-flood等泛洪攻击的小软件
10-26
可以模拟syn flood udp flood等泛洪攻击的一款小软件,360会报警。
syn flood测试工具
03-11
学习网路基础tcp/ip,可以用来模拟黑客攻击仅供测试使用。
高级扫描IP端口-查看开放端口
06-16
端口扫描工具 对网络设备进行快速扫描 识别检测到的端口上运行的程序 轻松访问发现的资源:HTTP、HTTPS、FTP 以及共享的文件夹 通过 RDP 和 Radmin 对计算机进行远程访问 Advanced Port Scanner 是一款免费的网络扫描工具,使您能够快速找到网络计算机上的开放端口,并对检测到的端口上运行的程序版本进行检索。该程序具有用户友好的界面和丰富的功能。 Advanced Port Scanner Advanced Port Scanner 是一款免费的网络扫描工具,使您能够快速找到网络计算机上的开放端口,并对检测到的端口上运行的程序版本进行检索。该程序具有用户友好的界面和丰富的功能。 主要特性 快速多线程端口扫描 远程访问 获取关于网络设备的信息 Wake-On-LAN 以及远程 PC 关机 轻松访问找到的资源 在远程计算机上运行命令
synflood.zip
05-25
在本机(linux)上 模拟syn-flood攻击,验证内核syn-cookie机制。gcc编译后即可使用,启动后使用tcpdump可以抓包
SYNFlood.zip_ Synflood_SYNflood_YSNFlood_attack_synflood攻击MFC
07-14
SYNFLOOD 攻击源代码 C++ 实现拒绝服务攻击 可以不断发送SYN
使用Kali Linux进行SYN Flood攻击
浅浅的博客
11-21 4925
1、SYN SYN:同步序列编号(Synchronize Sequence Numbers),是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。...
SYN Flood的发起、现象、防御方式介绍
weixin_55843145的博客
07-20 878
本篇通过实验介绍如何从KALI系统发起SYN Flood攻击,靶机现象,以及加装防火墙之后的现象,一起学习和理解SYN Flood攻击
syn flood和ddos攻击的区别
05-02
Syn flood攻击和DDoS攻击都属于网络攻击的范畴,但它们的实现方式和目的不同。 Syn flood攻击是指攻击者利用TCP/IP协议中的Syn包漏洞,向目标服务器发送大量的伪造的Syn连接请求,使得服务器的资源被占用完毕,无法响应合法的请求,从而导致服务不可用。攻击者不需要控制大量的计算机就能发动攻击,只需要利用一个计算机就可以了。 DDoS攻击(Distributed Denial of Service),即分布式拒绝服务攻击,是指攻击者通过多台计算机同时发起攻击,从而使受害者的网络带宽或服务器资源被耗尽,无法正常提供服务。DDoS攻击可以利用多种方式进行,如UDP flood、ICMP flood、HTTP flood等等。 总的来说,Syn flood攻击是一种特定类型的攻击,而DDoS攻击则是一种更加广泛的攻击方式,可以利用多种攻击手段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值