SYN Flood的发起、现象、防御方式介绍

最新推荐文章于 2024-07-29 17:15:00 发布
最新推荐文章于 2024-07-29 17:15:00 发布
阅读量1k 收藏 6
点赞数
文章标签: ddos 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55843145/article/details/131833926
版权

文章目录

SYN Flood攻击介绍

首先需要了解TCP建立连接的过程:客户端向服务器发送SYN报文,服务器收到之后会回复一个SYN-ACK报文,并且记录与该源IP的TCP连接状态为SYN_RECEIVED,当客户端收到SYN-ACK报文之后,正常情况下会回复ACK报文,服务器收到后则改变TCP连接状态为ESTABLISHED。如果服务器一直收不到客户端回复的ACK报文,则会重新请求3-5次,每次等待一个SYN timeout(等待超时时间)。对于Windows NT,第一次SYN timeout默认为3s,之后每次等待超时一次,下一次等待时间翻倍,如果重新请求五次,该条TCP连接占用资源总时长为三分钟左右,直到最后一次等待超时才会释放掉。而上述过程就是SYN Flood攻击的原理,之后的TCP连接过程不做详述,TCP总的交互过程可见下图:
在这里插入图片描述
可以在终端通过netstat -n -p tcp来查看服务器的TCP连接情况。在TCP正常握手的情况下,SYN_RECEIVED状态的条目应该没有或者很少,但是如果发现大量的SYN_RECEIVED条目,则表明该服务器很可能被SYN Flood攻击了,因为SYN Flood攻击一般使用随机源IP,对于服务器回应的SYN-ACK报文都不会回应,导致服务器会使用大量内存去处理这些TCP连接,最终可能导致瘫痪。

实验1:SYN Flood发起与现象

topology:
在这里插入图片描述
步骤:

  1. 关闭靶机防火墙

  2. 通过netstat-n -p tcp命令查看目标主机当前TCP连接情况,同时开启设备管理器,查看CPU性能占用
    在这里插入图片描述
    在这里插入图片描述

  3. KALI上使用hping3 -q -n --rand-source -S -s 53 -k-p 445 -flood -d 1400 DIP命令对DIP发起SYN Flood攻击,其中:
    -q:安静模式,-n:象征性输出主机地址, --rand-source:随机源IP,-S:SYN flag,-s:源端口(默认随机),53 -k:设置源端口为53且保持不变, -p:目的端口(默认0),-flood:flood攻击,-d 1400:发送数据为1400字符的数据报(默认0)
    【flood发包大概是每秒30000个,由于是实验,为了防止wireshark卡死,建议不要发起攻击或者抓包太长时间】
    在这里插入图片描述

    3.1. CPU使用率大幅增加
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/5a34ac8a06464f0599e3cf0ca5b2a180.png
    3.2. 出现大量SYN_RECEIVED状态条目
    在这里插入图片描述
    3.3. 抓到大量SYN报文,且目标主义也回复了大量SYN-ACK报文
    在这里插入图片描述
    在这里插入图片描述

实验2:使用防火墙进行DDoS防护

topology:
在这里插入图片描述

步骤:

  1. 靶机打开与防火墙对接的网口,并配置IP。在KALI上配置到靶机网口的路由,确保可以ping通。
    在这里插入图片描述
    在这里插入图片描述

  2. KALI上使用hping3 -q -n --rand-source -S -s 53 -k-p 445 -flood -d 1400 7.7.7.2 命令对靶机发起SYN Flood攻击
    在这里插入图片描述

  3. 防火墙配置DDoS防护模板(实验使用的防火墙为公司产品,暂不放出截图),配置SYN Flood出发阈值为10pps

  4. 重复步骤2
    预期:目标主机上抓包为10pps,CPU使用率没有明显增加,防火墙Flood日志正常记录
    实际:符合预期
    在这里插入图片描述

分析与总结

本次SYN flood实验使用虚拟靶机的运行内存为16G,且攻击方式不属于DDoS而是DoS,但只要发送数据字段为1400的flood攻击就能够占用50%以上的内存,如果有多台肉鸡同时发起flood攻击,那么很快会造成设备瘫痪。对于防火墙而言,也有几种防止TCP Flood的方式:

①基本源认证(reset认证),即上述实验2步骤3中第一张图的err_syn_ack动作,当检测到到达某目标服务器的SYN报文超过阈值之后,Anti-DDoS启动源认证机制,Anti-DDoS将代替目标服务器向客户端发送错误确认序号的SYN_ACK报文,具体如下:当防火墙收到SYN报文后,回复错误SYN_ACK报文,如果攻击发起端收到之后肯定不会回应,而正常客户端则会回复RST报文,要求重新连接并重新发送SYN报文,而防火墙收到RST报文后则会把该报文源IP加入白名单,下次SYN报文命中白名单后直接通过。但是基本源认证存在一定局限性,如果有些网络设备或者客户端本身会直接丢弃错误的SYN_ACK报文,那么基本源认证就失去作用了。
在这里插入图片描述

②高级源认证(cookie认证),与基本源认证不同的一点就是,针对SYN报文都会回复正确确认号(记为cookie)的SYN_ACK报文,如果攻击发起端收到之后,依然不会回应,但是正常客户端会回应一个ACK报文,当防火墙收到客户端回应的ACK报文之后则会将源IP记录白名单,同时发送RST报文回去,希望客户端重新发起握手。
在这里插入图片描述

③TCP首包丢弃,这是一种比较直接且节省资源的方式,因为对于上述两种应对方式,每收到1个攻击报文,就会回复一个攻击报文,因此受攻击影响的带宽比攻击流量占据的带宽要更多,如果攻击流量足够多,Anti-DDoS达到性能瓶颈后,攻击流量依然会透传到目标服务器,因此Anti-DDoS利用首包丢弃机制来解决这一问题 。首包丢弃顾名思义是丢弃第一个SYN包,由于一般的SYN flood攻击发出的数据都是变源的,因此对于Anti-DDoS系统来说都算是首包,但是由于TCP的超时重传机制,正常客户端会在自己第一个SYN包被丢弃之后一段时间内重新发起SYN报文,此时Anti-DDoS系统再次进行源认证。之后形成会话,命中会话的流量则会放行。但是首包丢弃不适用于ACK flood攻击,具体原因以后有机会发布ACK flood知识再解释。
在这里插入图片描述

V50看蟹黄堡秘方
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络协议安全:SYN Flood原理和防御措施,使用hping3实现SYN Flood
wangyuxiang946的博客
04-08 9632
这篇文章教大家使用SYN Flood让室友的电脑卡死。使用hping3执行SYN Flood,配合实战案例讲解SYN Flood原理。
syn flood.zip
08-13
4. **部署专门的DoS防御设备和服务**: 这些设备和服务能自动检测并缓解SYN Flood攻击。 综上所述,SYN Flood攻击是通过滥用TCP连接建立过程来实施的,而在Windows下编写攻击程序需理解TCP协议、Winsock API以及源...
ddosSYN Flood) 攻击及防御方法,泛洪攻击
sun007700的专栏
10-18 903
https://blog.csdn.net/qq_32449467/article/details/53365408
[黑客入门] TCP SYN洪水 (SYN Flood) 攻击原理与实现(非常详细)零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
06-14 1549
本文主要介绍SYN Flood攻击的原理与实施方式,本文的本意是通过理解攻击原理来更好的防范被攻击,而不是教你怎么去攻击,所以千万别用于恶意攻击、千万别用于恶意攻击、千万别用于恶意攻击(重要的事情讲三次)。另外,防止SYN Flood攻击的方法很多,这里就不介绍了,有兴趣可以查阅相关的资料。参考资料:1. https://blog.csdn.net/zhangskd/article/details/11770647黑客&网络安全如何学习1.学习路线图。
SYN Flood攻击及防御方法
nie19940803的博客
08-03 1万+
SYN Flood攻击及防御方法   一、  为什么Syn Flood会造成危害   这要从计算机网络的TCP/IP协议栈的实现说起。当开放了一个TCP端口后,该端口就处于Listening状态,不停地监视发到该端口的SYN报文,一旦接收到Client发来的SYN报文,就需要为该请求分配一个TCB(Transmission Control Block),通常一个TCB至少需要280个字节,
TCP SYN Flood攻击与防御实验
zhdf160916的博客
11-05 8683
DoS(拒绝服务攻击) DDoS(分布式拒绝服务攻击) TCP SYN Flood(TCP SYN洪攻击 flood 洪水,泛滥) 什么是SYN泛洪攻击: 利用TCP三次握手协议,大量与服务器建立半连接,服务器默认需要重试5次,耗时63s才会断开接,这样,攻击者就可以把服务器的syn连接队列耗尽,让正常的连接请求不能处理。 TCP-SYN Flood攻击又称半开式连接攻击,每当我们进行一次标准的TCP连接,都会有一个三次握手的过程,而TCP-SYN Flood在它的实现过程中只有前两个步骤。这样,服务
SYN Flood攻击原理及防御技术
阿志的博客
08-13 8828
SYN泛洪一直是互联网上最常见也是最经典的DDoS攻击方式。这种攻击通过向服务器发送大量tcp请求连接报文(源IP一般是离散的),服务器为每一条连接分配资源最终导致内存耗尽而无法为后续的合法请求建立连接和服务。 攻击原理: 为了更好地理解SYN Flood攻击我们从老生常谈的TCP三次握手(three way handshake)谈起。熟悉的同学可以跳过^_^,笔者以如下的一次HTTP请求和回...
SYN Flood 攻击及防御方法
热门推荐
qq_32449467的博客
11-27 1万+
一、为什么Syn Flood会造成危害 这要从操作系统的TCP/IP协议栈的实现说起。当开放了一个TCP端口后,该端口就处于Listening状态,不停地监视发到该端口的Syn报文,一旦接收到Client发来的Syn报文,就需要为该请求分配一个TCB(Transmission Control Block),通常一个TCB至少需要280个字节,在某些操作系统中TCB甚至需要1300个字节,并返
hping3进行SYN Flood攻击,flood攻击原理及防御
Hardworking666的博客
09-10 8590
客户端向服务端发送大量SYN请求,服务端响应SYN+ACK然后进入SYN-RCVD状态等待客户端进行三次握手最后一步。发送大量SYN请求就会导致服务器产生大量SYN-RCVD队列,直至将服务器的队列资源耗尽达到DOS攻击的目的。hping3是一个命令行下使用的TCP/IP数据包组装/分析工具,通常web服务会用来做压力测试使用,也可以进行DOS攻击的实验。这里的伪造的IP地址,只是在局域网中伪造。-d 120 = 发送到目标机器的每个数据包的大小。-c 1000 = 发送的数据包的数量。
SYN Flood攻击是什么,如何防止攻击
HoewDec的博客
05-03 834
攻击者发送TCP SYNSYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。为了克服这个缺点,DoS攻击者开发了分布式的攻击。以多个随机的源主机地址向目的主机发送syn包,而在收到目的主机的syn+ ack包后并不回应,目的主机为这些源主机建立大量的连接队列,由于没有收到ack一直维护这些连接队列,造成资源的大量消耗而不能向正常的请求提供服务。
DDOS--SYN Flood攻击与防御
luojinbai的专栏
03-03 1406
转载自: http://www.myhack58.com/Article/60/sort096/2015/67857.htm 一、为什么Syn Flood会造成危害  这要从操作系统的TCP/IP协议栈的实现说起。当开放了一个TCP端口后,该端口就处于Listening状态,不停地监视发到该端口的Syn报文,一旦接收到Client发来的Syn报文,就需要为该请求分配一个TCB(Transmissio
dos.zip_C++_SYNflood_zip
09-21
标题 "dos.zip_C++_SYNflood_zip" 暗示了这是一个关于使用C++编程语言实现SYN Flood攻击的实例。SYN Flood是一种网络拒绝服务(DoS)攻击,通过滥用TCP连接的三次握手过程来耗尽目标服务器的资源。在本文中,我们将...
SYN flood 攻击检测技术综述
10-20
SYN Flood攻击是一种分布式拒绝服务(DDoS)攻击方式,主要针对TCP协议的三次握手过程。攻击者通过发送大量的SYN请求,使服务器在等待确认的过程中耗尽资源,导致正常用户无法建立连接。这种攻击利用了TCP协议的连接...
Linux下synflood源码
03-30
4. `synflood`:这可能是最终生成的可执行文件名,执行这个文件就可以发起synflood攻击。 三、防御synflood攻击 1. SYN Cookies:服务器可以使用一种技术,即SYN Cookies,将SYN包中的信息编码到ACK包中,这样即使...
TCP SYN Flood分析
02-18
本部分介绍了使用几种常见的网络分析工具(如科来网络分析系统、Omnipeek、Sniffer、Wireshark)对TFN2K发起的TCP SYN Flood攻击进行分析的过程。 1. **抓取数据包**:首先,通过TFN2K发起TCP SYN Flood攻击,并...
速盾:分享一些防御 DDoS 攻击的措施
zhuguowang01的博客
07-26 368
通过监测和分析流量,增加网络带宽和资源,加强网络设备的安全设置,使用专用的负载均衡器,采用高可用性架构,使用CDN等措施,可以有效地应对DDoS攻击。DDoS(分布式拒绝服务)攻击是指攻击者通过操纵大量的计算机或网络设备,向特定的目标发起大规模的网络流量,以消耗目标网络资源,造成网络服务不可用的攻击行为。加强防火墙和网络设备的安全设置:通过配置和更新防火墙、路由器和交换机等网络设备的安全设置,可以过滤和阻止源自攻击者的流量。通过了解正常的流量模式,可以更容易地检测到异常流量,并采取相应的措施。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 372
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络安全在2024好入行吗?
最新发布
2401_84466225的博客
07-29 523
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
论述SYNFlood攻击及防御原理
05-31
SYN Flood攻击是一种常见的网络攻击方式,它利用TCP协议中三次握手的漏洞,向目标服务器发送大量的伪造TCP连接请求,使得服务器无法响应正常请求,最终导致拒绝服务(DoS)甚至系统崩溃。 SYN Flood攻击的原理是利用TCP协议中的三次握手过程,即客户端向服务器发送SYN报文,服务器回复SYN+ACK报文,最后客户端发送ACK报文完成连接。攻击者发送大量伪造的SYN报文,使得服务器在等待客户端发送ACK报文的时候,一直保持半连接状态,从而占用服务器资源,最终导致服务器无法响应正常请求。 防御SYN Flood攻击的方法主要有以下几种: 1. 过滤技术:根据源IP地址、目的IP地址、源端口、目的端口等信息进行过滤,过滤掉伪造的SYN报文,防止其达到服务器。 2. TCP协议栈优化:设置TCP连接超时时间,关闭不必要的TCP选项,限制TCP半连接数等,提高TCP协议栈的性能和稳定性。 3. 负载均衡:将请求分发到多个服务器上,避免单点故障。 4. SYN Cookie技术:在收到SYN报文时,将一些关键信息放入Cookie中,发送给客户端,客户端回复ACK报文时,服务器通过计算校验码验证Cookie的合法性,从而防止SYN Flood攻击。 5. 高防IP:使用高防IP服务,将流量转发到专业的防御平台进行处理,减轻服务器的负担,提高安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值