TCP连接耗尽攻击&异常报文攻击与防御

已于 2023-04-07 11:48:26 修改
阅读量1.2k 收藏
点赞数
文章标签: 网络 服务器 tcp/ip
于 2023-04-07 11:43:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32044265/article/details/130008749
版权

TCP连接耗尽攻击与防御

TCP是面向连接的协议,其通信双方必须保持连接状态,并且通过确认、重传、滑动窗口等机制,保证数据传输的可靠性和稳定性。攻击者利用 TCP 的上述特点,利用TCP连接消耗被攻击目标的系统资源。

连接耗尽攻击是指攻击者通过僵尸网络,向服务器发起大量的 TCP 连接,耗尽服务器的 TCP 连接资源。连接耗尽一般有以下几种攻击类型:

  • 完成三次握手后,不发送任何报文,一直维持这些 TCP 连接。

  • 完成三次握手后,立刻发送 FIN 或 RST 报文,释放本端连接,同时快速发起新的连接。

  • 连接过程中呈现给服务器端很小的 TCP windows size,导致服务器 TCP 协议栈资源耗尽。

  • 发送大量 TCP 重传请求,以很小的流量即可导致被攻击网络上行链路拥塞。

针对此攻击会耗尽服务器的 TCP 连接资源的特点, Anti-DDoS 设备对目的 IP 地址的新建连接速率和并发连接数分布进行统计,当新建连接速率或并发连接数大于阈值时,则触发对源 IP 地址的相应检查:

  •  源 IP 地址新建连接速率检查:启动源 IP 地址新建连接速率检查后,如果某个源P 地址在检查周期内发起的 TCP 新建连接数大于阈值,则将该源 IP 地址判定为攻击源。

  •  源 IP 地址并发连接数检查:启动源 IP 地址并发连接数检查后,如果某个源 IP 地址的 TCP 并发连接数大于阈值,则将该源 IP 地址判定为攻击源。

  •  慢速连接速率检查:启动慢速连接速率检查后,统计同一源 IP 地址对同一目的 IP址的连接次数,在各统计时间间隔内,如果连续多次连接数相同,则判定为TCP 慢速连接攻击。

  • 异常会话检查:如果在检查周期内,某个源 IP 地址发起的 TCP 异常会话的连接数大于阈值时,则将该源 IP 地址判定为攻击源。判定 TCP 异常会话依据如下:

  1. 空连接检查:如果在检查周期内,在某条 TCP 连接上通过的报文数小于阈值,则判定该连接为异常连接。

  2. 重传会话检查:当某条 TCP 连接上重传报文数量大于阈值时,则判定该连接为异常连接。

  3. 慢启动连接检查:当某条 TCP 连接上通过的报文窗口小于阈值时,则判定该连接为异常连接。

当检查发现异常时,将异常源 IP 地址加入黑名单,切断其 TCP 流量。

TCP异常报文攻击与防御

TCP报文标志位包括URG、 ACK、 PSH、 RST、 SYN、 FIN六位,其代表不同的含义,标志位的值置为1,表示该标志位起作用。

  • URG:置1时表示紧急指针有效。

  • ACK:置1时表示确认序号有效。

  • PSH:置1时表示接收方收到数据段后应该尽快送到应用程序。

  • RST:置1时表示重新建立连接。

  • SYN:置1时表示发起一个连接。

  • FIN:置1时表示发送方完成发送任务,释放连接。

这6个标志位在TCP交互过程中各司其职,标志位置必须严格遵循TCP规范。如果不遵循规范随意将标志位置0或置1,这类报文称为TCP异常报文。接收方处理这些异常报文时会消耗系统资源,甚至可能会导致系统崩溃。攻击者也可以利用TCP异常报文来发起DDoS攻击,向被攻击目标发送大量构造的TCP异常报文,导致被攻击目标系统资源耗尽、网络拥塞,无法正常提供服务。

下图给出了 Anti-DDoS 系统判定 TCP 异常报文的原则,通过这些检查项,AntiDDoS系统可以全面准确地防御TCP异常报文攻击。

阿豪的笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云:深入浅出DDoS攻击防御——防御
03-04
谈到DDoS防御,首先就是要知道到底遭受了多大的攻击。这个问题看似简单,实际上却有很多不为人知的细节在里面。以SYNFlood为例,为了提高发送效率在服务端产生更多的SYN等待队列,攻击程序在填充包头时,IP首部和TCP首部都不填充可选的字段,因此IP首部长度恰好是20字节,TCP首部也是20字节,共40字节。对于以太网来说,最小的包长度数据段必须达到46字节,而攻击报文只有40字节,因此,网卡在发送时,会做一些处理,在TCP首部的末尾,填充6个0来满足最小包的长度要求。这个时候,整个数据包的长度为14字节的以太网头,20字节的IP头,20字节的TCP头,再加上因为最小包长度要求而填充的6个字
TCP 协议(五)异常报文
cliffordl的专栏
07-12 900
1.[TCP Dup ACK xxx#y](重复应答)2.[TCP Fast Retransmission](快速重传)3.[TCP Retransmission](超时重传)4.[TCP Out-Of-Order](报文乱序)5.[TCP Previous segment not captured](报文缺失)
DDOS之TCP连接耗尽攻击防御
最新发布
白帽子凯哥哥的博客
06-03 852
connection flood攻击是非常有效的利用小流量冲击大带宽的攻击手段,这种攻击方式曾经风靡一时。攻击的原理是利用真实IP服务器发起大量的连接,并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器服务器上WAIT连接状态过多,效率降低,消耗对方网络资源甚至耗尽,无法响应其他正常客户所发起的连接。常用的一种攻击方法是每秒钟向服务器发起大量的连接请求,这类似于固定源IP的syn flood攻击,不同的是采用了真实的源IP地址。
面试官,不要再问我三次握手和四次挥手
热门推荐
猿人谷
10-08 37万+
三次握手和四次挥手是各个公司常见的考点,也具有一定的水平区分度,也被一些面试官作为热身题。很多小伙伴说这个问题刚开始回答的挺好,但是后面越回答越冒冷汗,最后就歇菜了。 见过比较典型的面试场景是这样的: 面试官:请介绍下三次握手 求职者:第一次握手就是客户端给服务器端发送一个报文,第二次就是服务器收到报文之后,会应答一个报文给客户端,第三次握手就是客户端收到报文后再给服务器发送一个报文,三次握手就...
网络设备被异常报文攻击实例浅析
qq_44005305的博客
08-29 659
本案例主要分析网络设备OLT被异常报文攻击/内存溢出,导致OLT出现脱管情况,脱管后主控盘挂死,无法登录OLT的命令行管理系统,严重会伴有用户偶发断网等故障现象。LineTerminal)设备是互联网中常用的宽带用户接入(光电一体)网络设备,它不仅具备L2交换机或L3路由交换机功能,还具备对用户端设备ONU的控制、管理等功能。某OLT不定期每隔约1周左右就会出现脱管情况,脱管后主控盘挂死,无法登录OLT的命令行管理模式,但是现场连接串口后有无关信息打印。每次拔插主控盘进行主备倒换或重启可恢复正常。
异常攻击类详解
sdgdsczs的博客
04-20 928
异常攻击,ping-of-death,Land-base,tear-drop,TCP 异常攻击
wireshark TCP常见异常报文分析
myvest的专栏
10-19 1万+
流媒体播放中,常常需要借助wireshark从TCP层面对交互过程进行分析,本文记录一些常见的TCP异常报文及其分析。 乱序与丢包 1、[TCP Previous segment not captured] [TCP Previous segment not captured]报文指的是在TCP发送端传输过程中,该Seq前的报文缺失了。一般在网络拥塞的情况下,造成TCP报文乱序、丢包时,会出现该标...
什么是慢速攻击
m0_66268916的博客
01-02 579
慢速攻击(Slowloris attack)是一种网络攻击技术,旨在通过占用服务器上的所有可用连接来使其不可用。与传统的拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击不同,慢速攻击利用服务器的资源限制来达到目的,而不是通过发送大量数据包来消耗带宽。 慢速攻击的原理是利用 HTTP 协议的特性,在发起请求后,保持连接处于 “半开放” 状态。攻击者通过发送大量的 HTTP 请求,并以极其缓慢的速度来发送请求头部,但不发送完整的请求内容或维持连接的状况,使得服务器上的连接不断增加,占用了可用的连接资源,最终
TCP原理篇之连接耗尽攻击&异常报文攻击
weixin_41843715的博客
03-09 2852
在前面的两篇贴子中,我们逐一介绍了利用TCP各种报文进行的Flood类攻击,以及华为Anti-DDoS解决方案的应对措施。由于TCP协议的重要性,攻击者们绞尽脑汁寻找协议可利用的弱点,针对TCP攻击手段花样繁多。本篇我们就来介绍另外两种攻击方式:TCP连接耗尽攻击TCP异常报文攻击。 0x01 TCP连接耗尽攻击防御 TCP是面向连接的协议,通信双方必须保持连接状态,并且通过确认、重传、滑动...
TCP连接攻击
m0_37541228的博客
08-28 1761
1. 伪造协议,导致服务器crash. 比如说某条命令的字段长度,协议最大规定是1024,伪造个4096的。 2. 伪造大的报文,比如说一个包有1024M这么大。 3. 消耗服务器资源。开大量的连接, 以龟速发送报文,比如说每分钟一个字节。 4. DDOS攻击,从不同的IP发起大量的连接, 大流量淹没服务器。 5. 攻击集群的授权体系,all or nothing。 6. 报文发送顺序逻
【DDoS系列-01】人与自然之走近DDoS
A_991128a的博客
01-05 79
分布式拒绝服务(Distributed Denial of Service,简称DDoS),即利用大量电脑,通过远程连接,对一个或多个目标发起恶意访问,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。说白了,就是找了成千上万的无知用户在你家门店,不买东西也不砸东西,就到处逛,导致你的顾客进不来,而你还忙着大喊“欢迎光临”地要伺候他们!黑客可以通过购买大量代理IP肉鸡(被控制了的受害者电脑)等,来充当这些无知用户。
TCP Flag异常攻击原理
路与肥的博客
04-29 3353
TCP Flag异常攻击原理
TCP标志位非法攻击】不要参与违法犯罪行为,仅供交流
zskhahaha的博客
10-19 48
【代码】【TCP标志位非法攻击】不要参与违法犯罪行为,仅供交流。
TCP协议
iummature的博客
03-24 563
如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2状态。TCP协议是端到端的传输控制协议,之所以是“端到端”的协议,是因为”路由“是由IP协议负责的,TCP协议负责为两个通信端点提供可靠性保证,这个可靠性不是指一个端点发送的数据,另一个端点肯定能收到(这显然是不可能的),而是指,数据的可靠投递或者故障的可靠通知。,也即有一方要求close连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接
TCP报头中URG、PSH标志详解
Begin
05-21 2974
URG:紧急标志。紧急标志为"1"表明该位有效。 ACK:确认标志。表明确认编号栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1)为 下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。 PSH:推标志。该标志置位时,接收端不将该数据进行队列处理,而是尽可能快地将数据转由应用处理。在处理Telnet或rlogin等交 互模式的连接时,该标志总是置位的。 RST:复位标志。用于复位相应的TCP连接。 SYN:同步标志。表明同步序列编号栏有效。该标志仅在三次握手建立
什么是慢速攻击?如何防御慢速CC攻击
云加速
02-12 1204
1)什么是慢速攻击 一说起慢速攻击,就要谈谈它的成名历史了。HTTP Post慢速DoS攻击第一次在技术社区被正式披露是2012年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。 这个攻击的基本原理如下:对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接,指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用..
TCP报文段中的URG和PSH
f2016913的博客
07-12 1498
一:TCP报文段的首部格式 首先明白TCP虽然是面向字节流的,但TCP传输的数据单元确实报文段,一个TCP报文段分为首部和数据两部分,而TCP的全部功能都体现在它首部中的个字段的作用,因此只有弄清楚TCP首部个字段的作用才能掌握TCP的工作原理. TCP报文段首部的前20个字节是固定的,后面有4n字节是根据需要而增加的选项,,因此TCP首部的最小长度是20字节 二:首部固定部分各字段的意义:(
遇到畸形报文攻击怎么办?做好防御部署是关键
ksy_com的博客
07-08 449
随着互联网与我们生活的紧密性越来越强,网络攻击事件也愈加频繁,常见的网络攻击活动中,犯罪分子是通过入侵或破坏服务器来进行网络攻击的。常见的网络攻击类型有:拒绝服务型攻击、畸形报文攻击、扫描窥探攻击,尽管畸形报文攻击很少见,但它带来的威胁也不小。那么,什么是畸形报文攻击呢?畸形报文顾名思义就是有缺陷的IP报文,黑客通过向目标服务器发送大量含有缺陷的IP报文,使目标主机或服务器在处理这类报文时崩溃,这就是我们所说的畸形报文攻击。主要的畸形报文攻击有畸形TCP报文攻击、Teardrop 、Ping of Deat
"网络数通领域常见攻击报文类型与防御措施
另外,针对LAND攻击攻击者利用TCP连接三次握手机制中的缺陷向目标发起攻击,设备需要采取相应的防御措施来应对这种攻击。 在防范网络攻击的过程中,设备需要保持严密的监控,并及时发现和处理异常情况。另外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值