在学习IBM一篇文章系统性能调优 的时候注意到了一个名词SYN于是乎查了下资料:
SYN:TCP/IP建立连接时使用的握手信号。在客户机和服务器之间正常建立TCP/IP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN-ACK应答表示收到了这个消息,最后客户机再以ACK消息响应。这样客户机与服务器就通过三步建立了有效地TCP/IP连接。
SYN攻击:
1、原理:SYN攻击的原理主要是利用在客户机服务器TCP/IP的连接中,如果服务器接收不到客户机的ACK消息时,都会把该请求放入一个请求队列里,等到超过超时期限服务器才主动删除这些垃圾包。如果垃圾包太多就降低了服务器的性能。
2、防范:SYN可以通过设置网络防火墙进行防范。防范的根本思路是模拟发送ACK消息或者彻底阻止这种恶意请求。常用的防范方法有三,一是SYN网关:当客户机向服务器发送SYN包,防火墙收到服务器返回的SYN-ACK包时,一方面将SYN-ACK包法给客户机,一方面伪造一个ACK包返回给服务器,让服务器能正常地完成这次请求,如果客户机返回了ACK包,则将数据转发给服务器。二是被动式SYN网关:设置一个小于服务器超时期限的防火墙超时请求,如果超过这个超时请求,则发送一个RST包给服务器,告诉服务器删除该半连接 。三是SYN中继:防火墙接收到客户机向服务器发送的SYN包后,并不立即发送给服务器,而是发送给客户机一个SYN/ACK包,等待接收客户机返回的ACK包,如果正常返回则发送给服务器完成三次握手,如果没有返回,则放弃该请求。
2113
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
