TCP半连接与SYN攻击

最新推荐文章于 2023-10-11 00:06:15 发布
最新推荐文章于 2023-10-11 00:06:15 发布
阅读量8.2k 收藏 13
点赞数 4
分类专栏: 计算机网络 文章标签: tcp 半连接 SYN攻击

TCP握手协议相关概念

TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。TCP建立连接的“三次握手”和关闭连接的“四次挥手”过程详见文章TCP连接的“三次握手”与“四次挥手”和文章TCP连接状态详解

握手协议中的重要概念:

  • 半连接
    在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
  • 半连接队列
    在三次握手协议中,服务器维护一个半连接队列,存放半连接。该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的ACK确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
  • Backlog参数
    表示半连接队列的最大容纳数目。
  • SYN-ACK 重传次数
    服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。 
  • 半连接存活时间
    是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

SYN攻击

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。
SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包,服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃。目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。
Syn攻击是一个典型的DOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击
  
  netstat -n -p TCP | grep SYN_RECV

更多SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术参见文章TCP漏洞:半连接

参考

  1. http://blog.csdn.net/cpk154505/article/details/8768241

目录

smile4lee
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYN Flooding 攻击
03-23
说明:SYN-Flood攻击输入IP地址上的输入特定端口。数据包源IP地址为一伪造地址,每一次攻击都不断变换源IP地址源端口也是随机变化的。程序没有做到教科书要求的 伪造的源IP地址可路由但是不可达。程序采用的几乎都是不可达的IP。教科书中还有一种做法,选取一伪造IP,从不同的端口连接攻击端口,扩大了攻击面。本程序目前没有实现这样的功能,不过非常容易做到。
详解Linux系统如何防止TCP洪水攻击
01-11
#最关键参数,默认为5,修改为0 表示不要重发 net.ipv4.tcp_synack_retries = 0 #连接队列长度 net.ipv4.tcp_max_syn_backlog = 200000 #系统允许的文件句柄的最大数目,因为连接需要占用文件句柄 fs.file-max = 819200 #用来应对突发的大并发connect 请求 net.core.somaxconn = 65536 #最大的TCP 数据接收缓冲(字节) net.core.rmem_max = 1024123000 #最大的TCP 数据发送缓冲(字节) net.core.wmem_max = 16777216
内核tcpsyn包skbuffer构造发送模块
11-17
使用skbuffer 构造tcp连接的第一个包syn包 发送给目的主机,
DDoS攻击--Syn_Flood攻击防护详解(TCP)
热门推荐
一只IT小小鸟
08-22 5万+
Syn_Flood概述 Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的连接队列被占满,从而阻止其他合法用户进行访问。 这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,...
tcp连接连接攻击和全连接攻击总结
qq_26105397的博客
07-17 1万+
众所周知,tcp通信是一个面向连接的过程,客户端要和服务端连接,必须进行连接才能进行通信。在tcp连接中,有两种连接攻击方式,是连接攻击机和全连接攻击,对此搜积相关资料做了一个总结。 <1>连接攻击?     连接攻击是一种攻击协议栈的攻击方式,坦白说就是攻击主机的一种攻击方式。通过将主机的资源消耗殆尽,从而导致应用层的程序无资源可用,导致无法运行。在正常情况下,客户端连接服...
TCP连接攻击 & 全连接攻击
或左的博客
03-09 2649
面经上看到了连接攻击的问题,跟自己想的差不多,这里简单总结一下。 连接攻击 在正常情况下,客户端连接服务端需要通过三次握手,首先客户端构造一个SYN连接数据包发送至服务端,自身进入SYN_SEND状态,当服务端收到客户端的SYN包之后,为其分配内存核心内存,并将其放置在连接队列中,服务端接收客户SYN包并会向客户端发送一个SYN包和ACK包,此刻服务端进入SYN_RECV态。客户端收到包之后,再次向服务端发送ACK确认包。至此连接建立完成,双方都进入ESTABLSHEDZ状态。连接就是通过不断地构造
漏洞攻击 --- TCP -- 攻击、RST攻击
weixin_62443409的博客
07-12 9501
sys 攻击数据是DOS攻击的一种,利用TCP协议缺陷,发送大量的连接请求,耗费CPU和内存资源,发生在TCP三次握手中。A向B发起请求,B按照正常情况执行响应,A不进行第3次握手,这就是连接攻击
网络攻击连接攻击(SYN攻击)、全连接攻击、RST攻击、IP欺骗、DNS欺骗、DOS/DDOS攻击
kanguolaikanguolaik的专栏
09-17 1万+
一、连接攻击 二、全连接攻击 三、RST欺骗 四、IP欺骗       行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。 五、DNS欺骗 5.1 定义       攻击者冒充域名服务器的一种欺骗行为。 5.2 原理       如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网只能看到攻击者的主页
计算机网络之连接SYN洪泛攻击
weixin_52690231的博客
03-16 1668
计算机网络之连接SYN洪泛攻击
什么是 SYN 攻击?如何避免 SYN 攻击
Hoshea_sun的博客
03-27 1928
SYN 攻击方式最直接的表现就会把 TCP 连接队列打满,这样,导致客户端无法和服务端建立连接。方式一:调大 netdev_max_backlog当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。控制该队列的最大值如下参数,默认值是 1000,我们要适当调大该参数的值,比如设置为 10000方式二:增大 TCP 连接队列方式三:开启 net.ipv4.tcp_syncookiescookieaccpet()
tcp连接连接问题查询步骤
02-01
有socket连接不稳定经常出现连接不上或者没有反应的问题如何查询
运维之道 | Zabbix 监控服务器TCP连接状态信息
01-07
TCP连接状态对于我们web服务器来说是至关重要的,尤其是并发量ESTAB,或者是syn_recv值,假如这个值比较大的话我们可以认为是不是受到了攻击;time_wait值比较高的话,我们要考虑看我们内核是否需要调优,太高的...
Linux系统如何低于TCP洪水攻击
01-09
#连接队列长度 net.ipv4.tcp_max_syn_backlog = 200000 #系统允许的文件句柄的大数目,因为连接需要占用文件句柄 fs.file-max = 819200 #用来应对突发的大并发connect 请求 net.core.somaxconn = 65536 #大...
TCP/IP(六)TCP连接管理(三)连接
wzj_110的博客
10-11 202
处于 SYN_RECV 状态的最大个数。理论值 max_qlen_log。
连接
Likes的博客
04-25 9842
http://book.51cto.com/art/201312/422461.htm 1.2.4.4 连接 《基于Oracle的SQL优化》第1章Oracle里的优化器,本章会详细介绍与Oracle数据库里优化器相关的基础知识,目的是希望通过这一章的介绍,让大家对Oracle数据库里的优化器有一个全局、概要性的认识,打好基础,为阅读后续章节扫清障碍。本节为大家介绍连接。 1.2.4.4...
TCP-socket-ddos一文详解
WJ.L
03-26 458
本节内容 1.TCP协议浅谈 1.HTTP连接 2.SOCKET原理 3.TCP介绍 4.TCP连接的三次握手与四次挥手 2.DDOS 1.什么是DDOS 2.攻击原理 3.防护方法 4.其他攻击方式了解 一、TCP协议浅谈 1、HTTP连接 HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,是用于从W...
TCP 连接队列和全连接队列
weixin_44479862的博客
09-12 1492
TCP 三次握手的时候,Linux 内核会维护两个队列,分别是:连接队列,全连接队列。
浅谈TCP连接攻击与全连接攻击
不务正业随手记
03-10 1766
连接攻击: 所谓的全连接攻击说的就是客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时后处理或者耗尽服务器的处理进程。为何不发送任何数据呢?因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接,如果不发送数据的话,很多服务器只能阻塞在recv或者read调用上。很多的服务器架构都是每连接一个进程的方式,这种服务器更容易受到全连接攻击,即使是进程池/线程池的方式也不例外,...
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
tcp syn flood攻击防御
12-28
TCP SYN Flood攻击是一种常见的拒绝服务(DoS)攻击方式,攻击者通过发送大量的TCP SYN请求来消耗目标服务器的资源,导致正常用户无法访问该服务器。为了防御TCP SYN Flood攻击,可以采取以下几种方法: 1. SYN Cookie技术:当服务器收到一个TCP SYN请求时,不立即分配资源,而是根据请求的源IP地址和端口号生成一个加密的cookie,并将其发送给客户端。客户端在后续的请求中需要携带这个cookie才能建立连接。这样可以有效防止伪造的TCP SYN请求。 2. SYN Proxy:使用SYN Proxy可以将服务器的负载分散到多个代理服务器上,代理服务器负责接收和验证TCP SYN请求,并将合法的请求转发给目标服务器。这样可以减轻目标服务器的负载压力。 3. 防火墙设置:通过在防火墙上设置规则,限制对服务器的TCP SYN请求的数量和频率,可以有效减少攻击的影响。可以设置防火墙规则来限制每个IP地址的连接数或者限制每秒钟接收的TCP SYN请求的数量。 4. 流量清洗设备:流量清洗设备可以对进入服务器的流量进行实时监测和分析,识别并过滤掉恶意的TCP SYN请求,保护服务器免受攻击。 5. 负载均衡器:使用负载均衡器可以将流量分发到多个服务器上,从而分散攻击的影响。当一个服务器受到攻击时,负载均衡器可以将流量转发到其他正常的服务器上,确保服务的可用性。 6. 更新操作系统和应用程序:及时更新操作系统和应用程序的补丁可以修复已知的漏洞,提高服务器的安全性,减少受到攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值