泛洪攻击(Flood)与TCP代理(TCP proxy)

最新推荐文章于 2024-08-13 08:23:44 发布
最新推荐文章于 2024-08-13 08:23:44 发布
阅读量1.7k 收藏 7
点赞数

下文摘自H3C攻击防范指导手册

泛洪攻击

网络上常常会发生泛洪攻击和网络扫描攻击。泛洪攻击指攻击者向攻击目标发送大量的虚假请求,驱使被攻击者由于不断应付这些无用信息而筋疲力尽,合法的用户却由此无法享受到相应服务,即发生拒绝服务。扫描攻击是攻击者对网络进行主机或端口扫描,通常攻击者通过扫描了解网络的状况,为后续的攻击做准备。
防火墙通过检测网络流量,分析异常流量的特征,能成功检测出各种泛洪攻击和网络扫描攻击,具体功能包括:ICMP Flood 攻击检测、UDP Flood 攻击检测、SYN Flood 攻击检测、连接数限制和扫描攻击检测。

  1. ICMP Flood攻击检测
    短时间内向特定目标不断请求 ICMP 回应,致使目标系统负担过重而不能处理合法的传输任务,就发生了 ICMP Flood。启用 ICMP Flood 攻击检测功能时,要求设置一个连接速率阈值,一旦发现保护主机 ICMP 连接速率超过该值,防火墙会输出发生 ICMP Flood 攻击的告警日志,并且根据用户的配置可以阻止发往该主机的后续连接请求。

  2. UDP Flood攻击检测
    短时间内向特定目标不断发送 UDP 报文,致使目标系统负担过重而不能处理合法的传输任务,就发生了 UDP Flood。启用 UDP Flood 攻击检测功能时,要求设置一个连接速率阈值,一旦发现保护主机响应的 UDP 连接速率超过该值,防火墙会输出发生 UDP Flood 攻击的告警日志,并且根据用户的配置可以阻止发往该主机的后续连接请求。

  3. SYN Flood攻击检测
    由于资源的限制,TCP/IP 栈只能允许有限个 TCP 连接。SYN Flood 伪造 SYN 报文向服务器发起连接,服务器在收到报文后用 SYN_ACK 应答,此应答发出去后,不会收到 ACK 报文,造成一个半连接。若攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,耗尽其资源,使正常的用户无法访问,直到半连接超时。在一些创建连接不受限制的实现里,SYN Flood 具有类似的影响,它会消耗掉系统的内存等资源。
    启用 SYN Flood 攻击检测功能时,要求设置一个连接速率阈值和半开连接数量阈值,一旦发现保护主机响应的 TCP 新建连接速率超过连接速度阈值或者半开连接数量超过半开连接数量阈值,防火墙会输出发生 SYN Flood 攻击的告警日志,并且可以根据用户的配置采取以下三种措施:

    • 阻止发往该保护主机的后续连接请求;
    • 切断保护主机上的最老半连接会话;
    • 向 TCP Proxy 添加受保护 IP 地址。

  4. 连接数限制
    连接数限制包括源 IP 连接数限制和目的 IP 连接数限制。启用连接数限制功能时,要求设置一个连接数阈值,一旦 IP 的连接数超过该值,防火墙会输出告警日志,并用可以根据用户配置阻止该 IP新建连接。

  5. 扫描攻击检测
    攻击者运用扫描工具探测目标地址和端口,用来确定哪些目标系统连接在目标网络上以及主机开启哪些端口服务。启用扫描攻击保护功能时,要求设置一个扫描速率阈值,一旦存在 IP 主动发起的连接速率超过该值,则判定该 IP 正在进行扫描探测,防火墙会输出发生扫描攻击的告警日志,阻止扫描者发起的后续连接,并且可以根据用户配置将扫描者加入到黑名单。

TCP代理

1. SYN Flood攻击详细介绍

一般情况下,TCP 连接的建立需要经过三次握手,即:
(1) TCP 连接请求的发起者向目标服务器发送 SYN 报文;
(2) 目标服务器收到 SYN 报文后,建立处于 SYN_RECEIVED 状态的 TCP 半连接,并向发起者回复 SYN ACK 报文,等待发起者的回应;
(3) 发起者收到 SYN ACK 报文后,回应 ACK 报文,这样 TCP 连接就建立起来了。利用 TCP 连接的建立过程,一些恶意的攻击者可以进行 SYN Flood 攻击。攻击者向服务器发送大量请求建立 TCP 连接的 SYN 报文,而不回应服务器的 SYN ACK 报文,导致服务器上建立了大量的 TCP 半连接。从而达到耗费服务器资源,使服务器无法处理正常业务的目的。

2. TCP Proxy功能简介

TCP Proxy 功能用来防止服务器受到 SYN Flood 攻击。客户端通过 TCP 代理请求与受保护的服务器建立连接时,TCP 代理首先验证客户端的请求是否为 SYN Flood 攻击,验证通过后客户端和服务器之间才能建立 TCP 连接,从而避免服务器受到攻击。
TCP Proxy 支持两种代理方式:单向代理和双向代理。单向代理方式是指仅对 TCP 连接的正向报文进行处理;双向代理是指对 TCP 连接的正向和反向报文都进行处理。用户可以根据实际的组网情况进行选择。
单向代理组网双向代理组网
例如:在如 图 1-1 所示的组网中,从客户端发出的报文经过TCP代理,而从服务器端发出的报文不经过TCP代理,此时只能使用单向代理方式;在如 图 1-2 所示的组网中,从客户端发出的报文经和从服务器端发出的报文都经过TCP代理,此时可以使用单向代理方式,也可以使用双向代理方式。

3. TCP Proxy处理流程

3.1. 单向代理

单向代理方式下,TCP Proxy的处理流程如 图 1-3 所示。
单向代理方式的TCP Proxy处理流程
TCP 代理收到某客户端发来的与受保护服务器(匹配某个受保护 IP 表项)建立 TCP 连接的请求(SYN 报文)后,先代替服务器向客户端回应序号错误的 SYN ACK 报文。如果收到客户端回应的RST 报文,则认为该 TCP 连接请求通过 TCP 代理的验证。一定时间内,TCP 代理收到客户端重发的 SYN 报文后,直接向服务器转发,在客户端和服务器之间建立 TCP 连接。TCP 连接建立后,TCP代理直接转发后续的报文,不对报文进行处理。

3.2. 双向代理

双向代理方式下,TCP Proxy的处理流程如 图 1-4 所示。
双向代理方式的TCP Proxy处理流程
TCP 代理收到某客户端发来的与受保护服务器建立 TCP 连接的请求(SYN 报文)后,先代替服务器向客户端回应正常的 SYN ACK 报文(窗口值为 0)。如果收到客户端回应的 ACK 报文,则认为该 TCP 连接请求通过 TCP 代理的验证。TCP 代理再向服务器发送同样的 SYN 报文,并通过三次握手与服务器建立 TCP 连接。双向代理方式中,在客户端和 TCP 代理、TCP 代理和服务器之间建立两个 TCP 连接。由于两个 TCP 连接使用的序号不同,TCP 报文交互过程中,TCP 代理接收到客户端或服务器发送的报文后,需要修改报文序号,再转发给对端,这样才能保证通信正常。

phymat.nico
关注
TcpProxy:一个高性能的tcp代理服务器
06-16
代理服务器 又一个 tcp 代理服务器。 特征 简单、小型的代码库 非常快,高性能 完全非阻塞的 IO 操作。 多IO线程 简单教程 ####1.更新配置文件“application.conf”。 tcpProxyServer { hosts = [ { localPort = 465 remoteHost = smtp . gmail . com remotePort = 465 } , { localPort = 993 remoteHost = imap . gmail . com remotePort = 993 } , { localPort = 995 remoteHost = pop . gmail . com remotePort = 995 } ] soBacklog =
[黑客入门] TCP SYN洪水 (SYN Flood) 攻击原理与实现(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
06-14 1898
本文主要介绍了SYN Flood攻击的原理与实施方式,本文的本意是通过理解攻击原理来更好的防范被攻击,而不是教你怎么去攻击,所以千万别用于恶意攻击、千万别用于恶意攻击、千万别用于恶意攻击(重要的事情讲三次)。另外,防止SYN Flood攻击的方法很多,这里就不介绍了,有兴趣可以查阅相关的资料。参考资料:1. https://blog.csdn.net/zhangskd/article/details/11770647黑客&网络安全如何学习1.学习路线图。
`tcpproxy` 项目教程
最新发布
gitblog_00185的博客
08-13 251
tcpproxy 项目教程 tcpproxyProxy TCP connections based on static rules, HTTP Host headers, and SNI server names (Go package or binary)项目地址:https://gitcode.com/gh_mirrors/tc/tcpproxy 1. 项目目录结构及介绍 tcpproxy ...
泛洪攻击以及防护方法
热门推荐
Jarvan_Song的博客
08-23 1万+
泛红攻击以及预防方法
TCP代理学习【1】
weixin_44810982的博客
11-16 3508
而且,在能够使用代理检查其请求之前,您将不知道正在检查的特定协议是否具有任何此类功能,并且在检查其请求之前,您将不知道如何代理其请求,并且...而不是想知道是先有鸡还是先有蛋,你只会有一个空荡荡的鸡舍和破碎的梦想。请注意,我们需要将我们的假 DNS 服务器配置为仅发送我们的代理流量,该流量用于我们的代理将其所有数据发送到的相同主机名。“转发代理”非常无聊。它将接受来自您的智能手机的流量(在我们的假 DNS 服务器的一点帮助下),将其转发到目标应用程序的远程服务器,并将其发送回您的智能手机的任何响应。
ICMP Flood防范
qq_47529104的博客
04-20 1527
ICMP Flood防御原理 介绍ICMP flood攻击和防御原理 攻击者短时间内发送大量的ICMP报文到被攻击目标,导致依靠会话转发的网络设备会话耗尽引起网络瘫痪,如果采用超大报文攻击也会导致网络链路拥塞。比如ping命令上面就有某个选项可以调整ICMP报文的发送大小,最大时65500B,在一些普通的主机上都没有对这个大ICMP包进行防范,所以如果没有对ICMP的大小进行限制那么毫无疑问将会产生十分严重的后果。所以一般来说,如果我们在网络上使用ping命令去制造一些大的ICMP报文希望某些网站的服
DDoS脚本:用perl编写的ddos脚本,可自动检测开放和易受攻击的端口,最多提供1.5 GB的软件包
02-05
DDoS脚本:用perl编写的ddos脚本,可自动检测开放和易受攻击的端口,最多提供1.5 GB的软件包
基于Linux平台的新的SYN Flood防御模型研究.pdf
09-06
增强的SYN Proxy防御模型是对SYN Proxy模型的改进,SYN Proxy通常位于防火墙或者代理服务器上,它在客户端和服务端之间充当中间人角色,接收SYN请求,验证其合法性,并控制连接的建立,以此来防止SYN Flood攻击。...
网络攻防入门初步
10-10
6. **系统代理攻击**:针对单一主机的攻击,可通过系统代理软件进行监控和防御。 #### 典型攻击案例分析 以Land攻击TCPSYN攻击为例,深入探讨其攻击机制与防范措施: 1. **Land攻击** - **攻击原理**:攻击者...
H3C华三 SecPath防火墙SYN Flood攻击防范的典型组网
11-30
H3C华三 SecPath防火墙SYN Flood攻击防范的典型组网
网络安全威胁与对策.docx
06-09
此外还可利用综合性安全算法如:SYN Cookie/SYN Proxy、safereset等,在网络入口处为每一个来访IP地址分配"Cookie",通过标记、统计其访问频率,区别正常IP与僵尸IP,有效辨别攻击特征,掐死恶意流量。 网络安全威胁...
有关组网技术与配置论文
04-16
导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为"洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK FloodUDP FloodICMP FloodTCP Flood、Connections Flood、Script FloodProxy ...
VoIP中的导向性技术
03-04
由于一些DOS/DDOS攻击运行在网络层/传输层,而防火墙的syn-cookie、syn-proxy技术可以解决syn-flood这样的DOS攻击,其它的防攻击技术可以有效地阻止icmpflood、land-attack、teardrop attack等攻击。...
udp.rar_udp扫描
09-19
4. **攻击手段:** 黑客可能利用UDP扫描寻找攻击入口,例如UDP Flood攻击。 **执行UDP扫描的工具:** - Nmap:功能强大的网络扫描工具,支持TCPUDP等多种扫描方式。 - ZAP (Zed Attack Proxy):虽然主要用于...
TCP报文 Flood攻击原理与防御方式
qq_32044265的博客
04-07 3228
TCP交互过程中包含SYN、SYN-ACK、ACK、FIN和RST报文,这几类报文也可能会被攻击者利用,海量的攻击报文会导致被攻击目标系统资源耗尽、网络拥塞,无法正常提供服务。接下来我们介绍几种常见的Flood攻击的原理和防御方式。
TCPUDP的区别
Super_CJL的博客
02-05 167
复习一下计算机基础知识,准备春招… TCP TCP(Transmission Control Protocol,传输控制协议)可靠数据传输协议(保证数据正确性)、面向连接的、面向字节流、传输慢,安全漏洞多,容易受到攻击(syn flood 如果在第二次握手后服务器就分配资源)、TCP 首部开销20 字节(TCP 报文段由首部字段和数据字段组成,首部字段一般 20 字节,但是由于首部字段中 TCP 的选项字段是可变的,所以 TCP 的首部长度是可变的。(选项字段为空,TCP 首部字段 20 字节))、要求系统
TCP代理服务器proxy程序分析
u012117034的博客
12-21 541
proxy 是官网提供的示例程序,演示了如何使用 StateThread 协程来实现一个 TCP 代理服务器,也就是一个 TCP 流量转发程序。
tcp syn flood攻击防御
12-28
TCP SYN Flood攻击是一种常见的拒绝服务(DoS)攻击方式,攻击者通过发送大量的TCP SYN请求来消耗目标服务器的资源,导致正常用户无法访问该服务器。为了防御TCP SYN Flood攻击,可以采取以下几种方法: 1. SYN Cookie技术:当服务器收到一个TCP SYN请求时,不立即分配资源,而是根据请求的源IP地址和端口号生成一个加密的cookie,并将其发送给客户端。客户端在后续的请求中需要携带这个cookie才能建立连接。这样可以有效防止伪造的TCP SYN请求。 2. SYN Proxy:使用SYN Proxy可以将服务器的负载分散到多个代理服务器上,代理服务器负责接收和验证TCP SYN请求,并将合法的请求转发给目标服务器。这样可以减轻目标服务器的负载压力。 3. 防火墙设置:通过在防火墙上设置规则,限制对服务器的TCP SYN请求的数量和频率,可以有效减少攻击的影响。可以设置防火墙规则来限制每个IP地址的连接数或者限制每秒钟接收的TCP SYN请求的数量。 4. 流量清洗设备:流量清洗设备可以对进入服务器的流量进行实时监测和分析,识别并过滤掉恶意的TCP SYN请求,保护服务器免受攻击。 5. 负载均衡器:使用负载均衡器可以将流量分发到多个服务器上,从而分散攻击的影响。当一个服务器受到攻击时,负载均衡器可以将流量转发到其他正常的服务器上,确保服务的可用性。 6. 更新操作系统和应用程序:及时更新操作系统和应用程序的补丁可以修复已知的漏洞,提高服务器的安全性,减少受到攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值