TCP SYN Flood攻击的原理机制/检测与防范及防御方法

http://www.net130.com/CMS/Pub/network/network_security/2008_08_21_42374_3.htm

一、TCP连接监控(TCP Interception) 

　　为了有效的防范TCP SYN Flood攻击，在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时，需要尽可能的减少服务端TCP Backlog的清空时间，大多数防火墙采用了TCP连接监控的工作模式。其工作流程如下图所示: 


1.防火墙接到来自用户端Z的SYN连接请求，在本地建立面向该连接的监控表项； 
　　2.防火墙将该连接请求之转发至服务端A； 
　　3.服务端A相应该连接请求返回SYN/ACK，同时更新与该连接相关联的监控表项； 
　　4.防火墙将该SYN/ACK转发至用户端Z； 
　　5.防火墙发送ACK至服务端A，同时服务端A中TCP Backlog该连接的表项被移出； 
　　6.这时，根据连接请求是否合法，可能有以下两种情况发生: 
　　　　a.如果来自用户端Z的连接请求合法，防火墙将该ACK转发至服务端A，服务端A会忽略该ACK，因为一个完整的TCP连接已经建立； 
　　　　b.如果来自用户端Z的连接请求非法(来源IP地址非法)，没有在规定的时间内收到返回的ACK，防火墙会发送RST至服务端A以拆除该连接。 
　　7.开始TCP传输过程。 
　　由此可以看出，该方法具有两个局限: 
　　1.不论是否合法的连接请求都直接转发至服务端A，待判断为非法连接(无返回ACK)时才采取措施拆除连接，浪费服务端系统资源； 
　　2.防火墙在本地建立表项以监控连接(一个类似TCP Backlog的表)，有可能被攻击者利用。 
　　二、天网DoS防御网关 
　　天网防火墙采用经过优化的TCP连接监控工作方式。该方式在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端Z与服务端A是隔断的。其工作流程如下图所示: 


1.防火墙接到来自用户端Z的SYN连接请求； 
　　2.防火墙返回一个经过特殊处理的SYN/ACK至客户端Z以验证连接的合法性； 
　　3.这时，根据连接请求是否合法，可能有以下两种情况发生: 
　　　　a．防火墙接收到来自客户端Z的ACK回应，该连接请求合法。转至第4步继续； 
　　　　b．防火墙没有接收到来自客户端Z的ACK回应，该连接请求非法，不进行处理； 
　　4.防火墙在本地建立面向该连接的监控表项，并发送与该连接请求相关联的SYN至服务端A； 
　　5.防火墙接到来自服务端A的SYN/ACK回应； 
　　6.防火墙返回ACK以建立一个完整的TCP连接； 
　　7.防火墙发送ACK至客户端Z，提示可以开始TCP传输过程。 
　　其中，在第2/3/4/7步过程中，防火墙内部进行了如下操作: 
　　1.在第2步中，为了验证连接的合法性，防火墙返回的SYN/ACK是经过特殊处理的，并提示客户端Z暂时不要传送有效数据； 
　　2.在第3步中，防火墙接收到来自客户端Z的ACK，检验其合法性。 
　　3.在第4步中，防火墙在本地建立面向该连接的监控表项，同时发送与该连接相关的SYN至服务端A； 
　　4.在第7步中，防火墙通过将TCP数据传输与监控表项进行比对，并调整序列号和窗口以使之匹配。开始TCP数据传输。 
　　在这里，天网防火墙通过高效的算法（64K位的Hash）提供了超过30万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。