关于网站的SYN_RECV(SYN_RECEIVED)攻击的防范措施

SYN 攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些 网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。

一、TCP握手协议
在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。
第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；
第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；
第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

(TCP 连接示意图)

(TCP 关闭示意图)

完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：
未连接队列： 在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出 确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入 ESTABLISHED状态。

Backlog参数：表示未连接队列的最大容纳数目。

SYN-ACK 重传次数:　服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。

半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

二、SYN攻击的基本原理
        SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危 害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。
        从上图可看到，服务器接收到连接请求（syn= j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重 发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服 务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未 连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

三、SYN攻击工具
        SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。

windows系统下的SYN工具
以 synkill.exe为例，运行工具，选择随机的源地址和源端囗，并填写目标机器地址和TCP端囗，激活运行，很快就会发现目标系统运行缓慢。如果攻击 效果不明显，可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗，此时可选择允许访问的TCP端囗，通常，windows系统开放 tcp139端囗，UNIX系统开放tcp7、21、23等端囗。

四、检测SYN攻击
        检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击：

1. 　　# netstat -n -p TCP
   

2. 　　tcp　0　 0 10.11.11.11:23　　124.173.152.8:25882　 SYN_RECV　-
   

3. 　　tcp　0　 0 10.11.11.11:23　　236.15.133.204:2577　 SYN_RECV　-
   

4. 　　tcp　0　 0 10.11.11.11:23　　127.160.6.129:51748　 SYN_RECV　-
   

5. 　　tcp　0　 0 10.11.11.11:23　　222.220.13.25:47393　 SYN_RECV　-
   

6. 　　tcp　0　 0 10.11.11.11:23　　212.200.204.182:60427 SYN_RECV　-
   

7. 　　tcp　0　 0 10.11.11.11:23　　232.115.18.38:278　　 SYN_RECV　-
   

8. 　　tcp　0　 0 10.11.11.11:23　　239.116.95.96:5122　　SYN_RECV　-
   

9. 　　tcp　0　 0 10.11.11.11:23　　236.219.139.207:49162 SYN_RECV　-

复制代码

        上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的（也可能是同一个IP的很多SYN＿RECV连接状态），表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：

1. 　　＃netstat �Catun | grep SYN_RECV | grep :80 | wc -l

复制代码

        显示TCP端囗80的未连接数请求及个数，虽然还远达不到系统极限，但应该引起管理员的注意。

五、SYN攻击防范技术
        关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。

1、过滤网关防护
        这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务 器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。

■ 网关超时设置：防火墙设置SYN转发超时参数（状态检测的防火墙可在状态表里面设置），该参数远小于服务器的timeout时间。当客户端发送完SYN 包，服务端发送确认包后（SYN＋ACK），防火墙如果在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删 去该半连接。值得注意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响正常的通讯，设置太大，又会影响防范SYN攻击的效果，必须根据 所处的网络应用环境来设置此参数。

■SYN 网关：SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务 器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。事实上，服务器除了维持半连接队列外，还要 有一个连接队列，如果发生SYN攻击时，将使连接队列数目增加，但一般服务器所能承受的连接数量比半连接数量大得多，所以这种方法能有效地减轻对服务器的 攻击。

■SYN 代理：当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK 包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强 的防范SYN攻击能力。

2、加固tcp/ip协议栈
        防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。

■　SynAttackProtect机制 (针对windows操作系统)
        为防范SYN攻击，win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制，Win2003系统也采用此机制。 SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范 SYN攻击的目的。默认情况下，Win2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位置增加 SynAttackProtect键值：　　

1. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

复制代码

       当SynAttackProtect值（如无特别说明，本文提到的注册表键值都为十六进制）为0或不设置时，系统不受SynAttackProtect保护。
        当SynAttackProtect值为1时，系统通过减少重传次数和延迟未连接时路由缓冲项（route cache entry）防范SYN攻击。
        当SynAttackProtect值为2时（Microsoft推荐使用此值），系统不仅使用backlog队列，还使用附加的半连接指示，以此来处理更多的SYN连接，使用此键值时，tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止。

        我们应该知道，平时，系统是不启用SynAttackProtect机制的，仅在检测到SYN攻击时，才启用，并调整tcp/ip协议栈。那么系统 是如何检测SYN攻击发生的呢？事实上，系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。

        TcpMaxHalfOpen 表示能同时处理的最大半连接数，如果超过此值，系统认为正处于SYN攻击中。Win2000　server默认值为100，Win2000　Advanced server为500。
        TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数，如果超过此值，系统自动启动 SynAttackProtect机制。Win2000　server默认值为80，Win2000 Advanced server为400。
        TcpMaxPortsExhausted　是指系统拒绝的SYN请求包的数量，默认是5。
        如果想调整以上参数的默认值，可以在注册表里修改（位置与SynAttackProtect相同）

■ SYN cookies技术
        我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。
        SYN cookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYN cookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。
        在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号 由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加 密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的 SYN序列号）给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看 看是否等于此 cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。

在RedHat linux中，启用SYN cookies是通过在启动环境中设置以下命令来完成：

1. 　　# echo 1 > /proc/sys/net/ipv4/tcp_syncookies

复制代码

注：也可以通过修改其它参数，或者使用/proc/sys/net/ipv4/netfilter/ip_contrack_*

■ 增加最大半连接数(加大未连接队列空间)
        大量的SYN请求导致未连接队列被塞满，使正常的TCP连接无法顺利完成三次握手，通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源，不能被无限的扩大。

        WIN2000：除了上面介绍的TcpMaxHalfOpen, TcpMaxHalfOpenRetried参数外，WIN2000操作系统可以通过设置动态backlog(dynamic backlog)来增大系统所能容纳的最大半连接数，配置动态backlog由AFD.SYS驱动完成，AFD.SYS是一种内核级的驱动，用于支持基于 window socket的应用程序，比如ftp、telnet等。AFD.SYS在注册表的位置：

1. HKLM\System\CurrentControlSet\Services\AFD\Parameters

复制代码

       EnableDynamicBacklog值为1时，表示启用动态backlog，可以修改最大半连接数。　
        MinimumDynamicBacklog表示半连接队列为单个TCP端囗分配的最小空闲连接数，当该TCP端囗在backlog队列的空闲连接小于此临界值时，系统为此端囗自动启用扩展的空闲连接（DynamicBacklogGrowthDelta），Microsoft推荐该值为20。
        MaximumDynamicBacklog是当前活动的半连接和空闲连接的和，当此和超过某个临界值时，系统拒绝SYN包，Microsoft推荐MaximumDynamicBacklog值不得超过2000。
        DynamicBacklogGrowthDelta值 是指扩展的空闲连接数，此连接数并不计算在MaximumDynamicBacklog内，当半连接队列为某个TCP端囗分配的空闲连接小于 MinimumDynamicBacklog时，系统自动分配 DynamicBacklogGrowthDelta所定义的空闲连接空间，以使该TCP端囗能处理更多的半连接。Microsoft推荐该值为10。

        LINUX：Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat 7.3中，该变量的值默认为256，在AS中，是1024。这个值是远远不够的，一次强度不大的SYN攻击就能使半连接队列占满。我们可以通过以下命令修改此变量的值：

1. 　　# sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

复制代码

        Sun Solaris Sun Solaris:用变量tcp_conn_req_max_q0来定义最大半连接数，在Sun Solaris 8中，该值默认为1024，可以通过add命令改变这个值：

1. 　　# ndd -set /dev/tcp tcp_conn_req_max_q0 2048

复制代码

        HP-UX：HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数，在HP-UX　11.00中，该值默认为500，可以通过ndd命令改变默认值：

1. 　　＃ndd -set /dev/tcp tcp_syn_rcvd_max 2048

复制代码

■缩短超时时间
        上文提到，通过增大backlog队列能防范SYN攻击；另外减少超时时间也使系统能处理更多的SYN请求。我们知道，timeout超时时间，也 即半连接存活时间，是系统所有重传次数等待的超时时间总和，这个值越大，半连接数占用backlog队列的时间就越长，系统能处理的SYN请求就越少。为 缩短超时时间，可以通过缩短重传超时时间（一般是第一次重传超时时间）和减少重传次数来实现。

       Win2000第一次重传之前等待时间默认为3秒，为改变此默认值，可以通过修改网络接口在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions 来定义，注册表的位置是：

1. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
   

2. 
   

复制代码

      当然我们也可以把重传次数设置为0次，这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。

       LINUX：Redhat使用变量tcp_synack_retries定义重传次数，其默认值是5次，总超时时间需要3分钟。

1. # sysctl -w net.ipv4.tcp_synack_retries="0"

复制代码

       Sun Solaris Solaris:　默认的重传次数是3次，总超时时间为3分钟，可以通过ndd命令修改这些默认值。

综合上述的方法：在linux下可以通过修改/etc/ sysctl.conf，添加下列选项达到效果。

1. ## add by geminis for syn crack
   

2. net.ipv4.tcp_syncookies = 1
   

3. net.ipv4.tcp_max_syn_backlog="2048"
   

4. net.ipv4.tcp_synack_retries="1"

复制代码

更多设置参考：sysctl.conf

六．编写bash脚本进行防范(我的方法是统计同一个IP的状态包并处理)

1. 
   

2. #!/bin/sh
   

3. 
   

4. ## 定义变量
   

5. MAX_TOTAL_SYN_RECV="1000"
   

6. MAX_PER_IP_SYN_RECV="20"
   

7. MARK="SYN_RECV"
   

8. PORT="80"
   

9. LOGFILE="/var/log/netstat_$MARK-$PORT"
   

10. LOGFILE_IP="/var/log/netstat_connect_ip.log"
    

11. DROP_IP_LOG="/var/log/netstat_syn_drop_ip.log"
    

12. 
    

13. ## iptables初始化，拒绝非法包和不明状态的包，允许请求包和已经连接的包进入
    

14. iptables -F -t filter
    

15. iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
    

16. iptables -A INPUT -p ALL -m state --state INVALID -j DROP
    

17. iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
    

18. 
    

19. ## 初始化变量
    

20. if [ -z $MARK ];then
    

21.     MARK="LISTEN"
    

22. fi
    

23. if [ -z $PORT ];then
    

24.     SPORT="tcp"
    

25. else
    

26.     SPORT=":$PORT"
    

27. fi
    

28. 
    

29. ######################## end
    

30. ## 保存netstat结果到指定记录文件中便于分析
    

31. 
    

32. netstat -atun|grep $MARK|grep $SPORT 2>/dev/null >$LOGFILE
    

33. REPEAT_CONNECT_IP=`less $LOGFILE|awk '{print $5}'|cut -f1 -d ':'|sort|uniq -d |tee > $LOGFILE_IP`
    

34. 
    

35. ## 如果IP记录文件不为空，则从原来的记录文件中读取记录并添加规则
    

36. if [ -s $DROP_IP_LOG ];then
    

37.     for i in `less $DROP_IP_LOG|awk '{print $1}'`;do
    

38.         /sbin/iptables -A INPUT -p ALL -s $i -j DROP
    

39.     done
    

40. fi
    

41. for i in `less $LOGFILE_IP`;do
    

42.     ##　统计同一个IP在在的SYN＿RECV状态
    

43.     REPEAT_CONNECT_NUM=`grep $i $LOGFILE|wc -l`
    

44.     ## 如果超过了预设的同一个IP的连接数，就拒绝此IP的连接包进入
    

45.     if [ $REPEAT_CONNECT_NUM -gt $MAX_PER_IP_SYN_RECV ];then
    

46.         echo "$i $REPEAT_CONNECT_NUM" >> $DROP_IP_LOG
    

47.         iptables -A INPUT -p ALL -s $i -j DROP
    

48.     fi
    

49. done
    

50. 
    

51. ## 统计所有状态为SYN＿RECV状态的数据包，如果数量超过预设，就重置状态。
    

52. ALL_CONNECT=`uniq -u $LOGFILE|wc -l`
    

53. echo $ALL_CONNECT
    

54. ## count repeat connections ,if the accout is large than default number,then drop packages
    

55. if [ $ALL_CONNECT -gt $MAX_TOTAL_SYN_RECV ];then
    

56.     echo $ALL_CONNECT
    

57.     exit
    

58. fi

复制代码

修改iptables

1. iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
   

2. iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
   

3. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
   

4. echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
   

5. echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
   

6. echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
   

7. echo 1 > /proc/sys/net/ipv4/tcp_syncookies

复制代码

查询某ip并发连接数

1. netstat -na|grep SYN|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -r

复制代码

统计SYN_RECV

1. netstat -na |grep SYN_RECV |grep 80 |wc -l

复制代码

查看各个状态总数

1. netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

复制代码

sysctl内核( /etc/ sysctl.conf )

1. net.ipv4.ip_forward = 0
   

2. net.ipv4.conf.default.rp_filter = 1
   

3. net.ipv4.conf.default.accept_source_route = 0
   

4. kernel.sysrq = 0
   

5. kernel.core_uses_pid = 1
   

6. net.ipv4.tcp_syncookies = 1
   

7. kernel.msgmnb = 65536
   

8. kernel.msgmax = 65536
   

9. kernel.shmmax = 68719476736
   

10. kernel.shmall = 4294967296
    

11. net.ipv4.tcp_max_syn_backlog = 65536
    

12. net.core.netdev_max_backlog = 32768
    

13. net.core.somaxconn = 32768
    

14. net.ipv4.tcp_max_tw_buckets = 5000
    

15. net.core.wmem_default = 8388608
    

16. net.core.rmem_default = 8388608
    

17. net.core.rmem_max = 16777216
    

18. net.core.wmem_max = 16777216
    

19. net.ipv4.tcp_rmem = 4096 87380 16777216
    

20. net.ipv4.tcp_wmem = 4096 65536 16777216
    

21. net.ipv4.tcp_timestamps = 0
    

22. net.ipv4.tcp_synack_retries = 2
    

23. net.ipv4.tcp_syn_retries = 2
    

24. net.ipv4.tcp_tw_recycle = 1
    

25. net.ipv4.tcp_tw_reuse = 1
    

26. net.ipv4.tcp_mem = 196608 262144 393216
    

27. net.ipv4.tcp_max_orphans = 3276800
    

28. net.ipv4.tcp_fin_timeout = 30
    

29. net.ipv4.tcp_keepalive_time = 120
    

30. net.ipv4.ip_local_port_range = 1024  65535