SYN攻击实现

SYN攻击

xxx.xx.xxx.xxx机器上用netstat –n –p tcp命令查看,可以发现很多SYN_RECEIVED连接。
而且都是发生在80端口上,而且无法正常访问80端口上的服务。其他的网络连接、服务都是
正常的。正常情况下不应该出现大量SYN_RECEIVED状态的TCP连接。例外这些连接的来源地址
都是有一定的规律。根据经验可以确定是有恶意者对xxx.xx.xxx.xxx进行D.o.S(Denial of
Service)攻击。

执行netstat命令结果如下:

Active Connections

  Proto  Local Address            Foreign Address        State
  TCP    127.0.0.1:1025           127.0.0.1:1033         ESTABLISHED
  TCP    127.0.0.1:1033           127.0.0.1:1025         ESTABLISHED
  TCP    xxx.xx.xxx.xxx:80        1.129.155.213:56048    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        8.71.96.232:18544      SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        17.95.29.168:33072     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        33.212.238.226:29024   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        33.250.131.21:46336    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        41.254.157.63:26688    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        44.6.143.72:14352      SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        44.233.0.83:2368       SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        46.172.194.36:60560    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        52.141.107.180:34048   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        58.92.189.37:59680     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        147.24.54.140:42160    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        150.41.8.196:50864     SYN_RECEIVED
  ........................
  ........................
  TCP    xxx.xx.xxx.xxx:80        157.176.98.17:49712    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        165.217.228.103:18416  SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        171.191.13.61:64656    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        174.45.224.245:30896   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        181.118.121.182:23984  SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        191.3.0.46:2864        SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        196.235.126.62:57024   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        208.104.144.7:50912    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        209.232.143.50:57248   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        214.14.49.76:50496     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        223.71.101.172:62528   SYN_RECEIVED
  ........................
  ........................


攻击方式的分析:

通过对netstat命令结果的分析。可以知道这是利用TCP的脆弱性进行攻击的。简单说就是攻
击者伪造一个假的IP包,发送到目标攻击的机器,浪费目标机器上的TCP资源,从而是目标机
器无法为正常访问者提供服务的一种攻击。

现今很多Internt的服务都是建立在TCP连接上面的,包括Telnet ,WWW, Email。当一台机器
(我们称它为客户端)企图跟一个台提供服务的机器(我们称它为服务端)建立TCP连接时,
它们必须先按次序交换通讯好几次,这样TCP连接才能建立起来。

开始客户端会发送一个带SYN标记的包到服务端;
服务端收到这样带SYN标记的包后,会发送一个带SYN-ACK标记的包到客户端作为确认;
当客户端收到服务端带SYN-ACK标记的包后 ,会向服务端发送一个带ACK标记的包。
完成了这几个步骤(如下图),它们的TCP连接就建立起来了,可以进行数据通讯。

客户端 服务端
SYN →
← SYN-ACK
ACK →


攻击者就是利用TCP连接的建立需要这样的过程的特点,作为攻击的手段。

他们(攻击者)伪造一个IP包,其中里面包含一个SYN标记和假的源IP地址,发送到目标机器
(受攻击的机器)。

目标机器(受攻击的机器)收到攻击者发送过来的伪造的IP包,会尝试向IP包里面记录的源
IP地址发送一个带SYN-ACK标记的包到源IP地址的机器上。

由于攻击者发送过来的IP包里面包含的源IP地址为伪造的,所以目标机器(受攻击的机器)
根本无法成功发送带SYN-ACK标记的包到伪造的源IP地址的机器上。造成目标机器(受攻击的
机器)的等待,尝试再连接。

因为目标机器(受攻击的机器)的等待是需要占用系统一定的资源的。如果这样的连接到了
一定的数目,系统没有更多的资源来为新的连接作出响应,那么TCP连接就无法建立,换而言
之,就是无法提供正常的服务。

而这些等待的资源会在一定的时间(Time Out)后被释放。而Windows NT的默认设置第一次为
3秒的超时,尝试5次,每次尝试的超时时间为前一次的两倍。如下表:


花费时间(秒) 累计花费时间(秒)
第一次,失败 3 3
尝试第1次,失败 6 9
尝试第2次,失败 12 21
尝试第3次,失败 24 45
尝试第4次,失败 48 93
尝试第5次,失败 96 189


从上表,我们可以看到,如果是Windows NT默认的设置,那么一个这样攻击,将会把响应的
资源占用189秒,189秒后系统才会自动释放。如果这样的连接数目到了一定程度之后,系统
就无法提供正常的服务了。

你可能感兴趣的:(windows,tcp,网络,email,通讯)