关于SYN洪泛攻击简单介绍

在TCP三次握手中,服务器为了响应一个收到的SYN,分配并初始化连续变量和缓存。然后服务器发送一个SYNACK进行响应,并等待来自客户的ACK报文段。如果某客户不发送ACK来完成该三次握手的第三步,最终(通常在一分钟之后)服务器将终止该半连接并回收资源。

这种TCP连接管理协议为经典的DoS(deny of service)攻击即SYN洪泛攻击(SYN flood attack)提供了环境。在这种攻击中,攻击者发送大量的TCP SYN报文段,而不完成第三次握手的步骤。随着这种SYN报文段纷至踏来,服务器不断为这些半开连接分配资源(但从未使用),导致服务器的连接环境被消耗殆尽。

现在有一种有效的防御系统,成为SYN cookie ,它们被部署在大多数主流操作系统中。SYN cookie 一下列方式工作:

1、当服务器接收到一个SYN报文段时,它并不知道该报文段是来自一个合法的用户,还是一个SYN洪泛攻击的一部分。因此 服务器不会为该报文段生成一个半开连接。相反,服务器生成一个初始TCP序列,该序列号是SYN报文段的源和目的IP地址与端口 号以及仅有该服务器知道的秘密数的一个复杂函数(散列函数)。这种精心制作的初始序列号成为“cookie”,服务器则发送具有这 种特殊初始序列号的SYNACK分组。重要的是,服务器并不记忆该cookie或任何对应于SYN的其他状态信息。

2、如果客户是合法的,则它将返回一个ACK报文段。当服务器收到该ACK,需要验证该ACK是与前面发送的某些SYN想对应 的。

3、如果客户没有返回一个ACK报文段,则初始的SYN并没有对服务器产生危害,应为服务器没有为它分配任何资源。

你可能感兴趣的:(关于SYN洪泛攻击简单介绍)