SYN攻擊屬于DOS攻擊的一種��,它利用TCP協(xié)議缺陷�����,通過(guò)發(fā)送大量的半連接請(qǐng)求����,耗費(fèi)CPU和內(nèi)存資源。TCP協(xié)議建立連接的時(shí)候需要雙方相互確認(rèn)信息��,來(lái)防止連接被偽造和精確控制整個(gè)數(shù)據(jù)傳輸過(guò)程數(shù)據(jù)完整有效�。所以TCP協(xié)議采用三次握手建立一個(gè)連接。
當(dāng)一個(gè)系統(tǒng)(我們叫他客戶端)嘗試和一個(gè)提供了服務(wù)的系統(tǒng)(服務(wù)器)建立TCP連接����,C和服務(wù)端會(huì)交換一系列報(bào)文。這種連接技術(shù)廣泛的應(yīng)用在各種TCP連接中����,例如telnet,Web,email,等等。首先是C發(fā)送一個(gè)SYN報(bào)文給服務(wù)端�����,然后這個(gè)服務(wù)端發(fā)送一個(gè)SYN-ACK包以回應(yīng)C,接著��,C就返回一個(gè)ACK包來(lái)實(shí)現(xiàn)一次完整的TCP連接��。就這樣�����,C到服務(wù)端的連接就建立了����,這時(shí)C和服務(wù)端就可以互相交換數(shù)據(jù)了���。下面是上文的說(shuō)明:)
Client —— ——Server
SYN——————–>
<——————–SYN-ACK
ACK——————–>
Client and server can now
send service-specific data
在S返回一個(gè)確認(rèn)的SYN-ACK包的時(shí)候有個(gè)潛在的弊端�����,他可能不會(huì)接到C回應(yīng)的ACK包���。這個(gè)也就是所謂的半開放連接,S需要耗費(fèi)一定的數(shù)量的系統(tǒng)內(nèi)存來(lái)等待這個(gè)未決的連接����,雖然這個(gè)數(shù)量是受限的����,但是惡意者可以通過(guò)創(chuàng)建很多的半開放式連接來(lái)發(fā)動(dòng)SYN洪水攻擊 �。
通過(guò)ip欺騙可以很容易的實(shí)現(xiàn)半開放連接。攻擊者發(fā)送SYN包給受害者系統(tǒng)�,這個(gè)看起來(lái)是合法的,但事實(shí)上所謂的C根本不會(huì)回應(yīng)這個(gè)SYN-ACK報(bào)文����,這意味著受害者將永遠(yuǎn)不會(huì)接到ACK報(bào)文。而此時(shí)���,半開放連接將最終耗用受害者所有的系統(tǒng)資源�����,受害者將不能再接收任何其他的請(qǐng)求���。通常等待ACK返回包有超時(shí)限制,所以半開放連接將最終超時(shí)�����,而受害者系統(tǒng)也會(huì)自動(dòng)修復(fù)。雖然這樣�����,但是在受害者系統(tǒng)修復(fù)之前����,攻擊者可以很容易的一直發(fā)送虛假的SYN請(qǐng)求包來(lái)持續(xù) 攻擊。 在大多數(shù)情況下���,受害者幾乎不能接受任何其他的請(qǐng)求���,但是這種攻擊不會(huì)影響到已經(jīng)存在的進(jìn)站或者是出站連接。雖然這樣���,受害者系統(tǒng)還是可能耗盡系統(tǒng)資源,以導(dǎo)致其他種種問(wèn)題�。
攻擊系統(tǒng)的位置幾乎是不可確認(rèn)的,因?yàn)?/span>SYN包中的源地址多數(shù)都是虛假的�����。當(dāng)SYN包到達(dá)受害者系統(tǒng)的時(shí)候�����,沒(méi)有辦法找到他的真實(shí)地址 ,因?yàn)樵诨谠吹刂返臄?shù)據(jù)包傳輸中���,源ip過(guò)濾是唯一可以驗(yàn)證數(shù)據(jù)包源的方法��。
400-677-3988
