本文详细介绍了TCP协议的基础知识,特别是针对DDoS攻击中的SYN Flood攻击。SYN Flood通过大量SYN报文占用服务器资源,导致服务瘫痪。华为Anti-DDoS解决方案通过源认证(基本源认证和高级源认证)和首包丢弃功能来防御此类攻击,减轻网络拥塞,保护服务器稳定运行。
TCP协议的SYN Flood攻击,这种攻击方式虽然原始,但是生命力顽强,长久以来在DDoS圈里一直处于德高望重的地位。SYN Flood攻击的影响也不容小觑,从攻击事件中可以看到,以SYN Flood为主的数十G流量,很容易就造成被攻击目标网络瘫痪。
但TCP类的攻击远不止如此,本篇我们就来全面讲解基于TCP协议的各种DDoS攻击方式和防御原理,首先来了解TCP协议的基础知识。
0x01 TCP协议基础
提起TCP,相信大家都不会陌生,每一位网络工程师入门时学到的第一个协议就是TCP了吧。由于与生俱来的优良品质(面向连接、超时重传等可靠性保证),这个传输层协议构建了网络的半壁江山,很多常用的协议或应用如Web、Telnet/SSH、FTP等都是承载于TCP的。
这里我们用一些篇幅再来温习一遍TCP协议,我们以一次FTP连接建立和断开的过程为例,分析TCP报文的交互过程,了解TCP报文中的关键字段。下面给出了使用Wireshark工具中Flow Graph功能绘制出的整个交互过程的流图:
我们重点关注交互过程的一头一尾,即三次握手建立连接以及四次握手断开连接的过程。
三次握手建立连接
在TCP中,通信双方使用三次握手来建立一个连接。第一次握手,客户端向服务器发起请求,报文中的SYN标志位置为1,序号为2452765130(用X标记),如下图所示:
第二次握手,服务器收到客户端的请求后,向客户端回应报文。报文中的SYN和ACK标志位均置为1,序号为1996069412(用Y标记),确认序号为客户端的序号+1即X+1=2452765131,如下图所示:
最低0.47元/天 解锁文章
1853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
