福彩快三

計算機科學

首頁 > 計算機科學

SYN flood

2018-09-11 09:03:06     所屬分類:阻斷服務攻擊
用戶(Alice)與服務器之間正常連線狀況。三向交握正確的進行。
SYN Flood。攻擊者(Mallory)發送許多數據包就是不送"ACK"回到服務器。該連線因此處于半開狀態并吞食服務器資源。因為拒絕服務攻擊的結果合法用戶Alice與服務器嘗試創建連線遭拒。

SYN flood或稱SYN洪水SYN洪泛是一種拒絕服務攻擊,起因于攻擊者發送一系列的SYN請求到目標系統。[1][2]

當客戶端試著與服務器間創建TCP連線時,正常情況下客戶端與服務器端交換一系列的信息如下:

  1. 客戶端透過發送SYN同步(synchronize)信息到服務器要求創建連線。
  2. 服務器透過響應客戶端SYN-ACK以抄收(acknowledge)請求。
  3. 客戶端答應ACK,連線隨之建立。

這即是所謂TCP三次握手,并且這是每個使用TCP傳輸協議創建連線的基礎。

SYN flood是一種廣為人知的攻擊,一般對現代網絡不太有效。這種攻擊只有在服務器在收到SYN后分配資源,但在收到ACK之前這個區塊有效。

SYN flood攻擊目前有兩種方法,不過都與服務器端沒收到ACK有關。惡意用戶可以跳過發送最后的ACK信息;或者在SYN里透過欺騙來源IP地址,這讓服務器送SYN-ACK到假造的IP地址,因此永不可能收到ACK。這兩個案例服務器會花點時間等抄收通知,故一個簡單的網絡壅塞可能是由于沒有ACK造成的。

如果這些半開通連線英語TCP half-open綁定服務器資源,透過海量SYN福彩快三信息淹沒服務器是有可能耗盡其資源。一旦所有資源都撥給半開通連線所保留,沒有新的連線(不管合法不合法)可被創建,導致拒絕服務攻擊。某些系統可能會故障得很糟糕,甚至宕機如果其他操作系統函數渴望這種形式的資源。

過去通常于1996年用來分配資源給半開通連線的技術牽涉到通常相當短的隊列[3]。隊列的每個空位可在連線完成、或者到期時[4]被清空。當隊列滿時,新進來的連線創建會失敗。以上面的示例來說,所有新進來的連線在總共8個數據包被提交之前會被阻擋下來。也就是說,每3分鐘正時算好的8個數據包將阻斷所有新進的TCP連線完成。這讓這種拒絕服務攻擊只須占很小的傳輸量。

福彩快三建議的反制方法包括SYN cookie或者限定某一段時間內來自同一來源請求新連線的數量,不過因為現代的TCP/IP堆棧沒有上面所述的瓶頸,因此介于SYN flood與其它種基于通道容量類型的攻擊應該會只有很小或幾乎沒有差別。

福彩快三反射路由器亦可以被攻擊者所利用,以取代客戶端機器。SYN講的是黑客利用TCP協議發送大量的半連接請求去攻擊目標服務器或者主機,致使目標服務器發生拒絕服務,或者藍屏。

目錄

  • 1 對策
  • 2 相關概念
  • 3 參考資料
  • 4 外部鏈接

對策

福彩快三在 RFC 4987 中有許多著名的對策,包括:

  1. 過濾
  2. 增加積壓
  3. 減少SYN-RECEIVED定時
  4. 復用古老的半開通TCP英語TCP_half-open
  5. SYN緩存
  6. SYN Cookie
  7. 混合方法
  8. 防火墻和代理

相關概念

  • 拒絕服務攻擊
  • 互聯網控制消息協議
  • IP地址欺騙
  • Smurf attack英語Smurf attack
  • Ping flood英語Ping flood

參考資料

  1. ^ RFC4987 TCP SYN Flood攻擊與一般對策
  2. ^ New York's Panix Service Is Crippled by Hacker Attack, New York Times, September 14, 1996
  3. ^ 例如:8個空位長
  4. ^ 例如:3分鐘后

外部鏈接

  • CERT官方對SYN攻擊的建議
  • Iptables protege contra SYN FLOOD? (巴西葡萄牙語). 

感謝您的支持,我會繼續努力的!

掃碼支持
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

愿你每天溫暖如春!!!

顯示全文

取消

感謝您的支持,我會繼續努力的!

掃碼支持
無需打賞可直接關閉閱讀全文
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

愿你每天溫暖如春!!!


相關推薦