SYN flood攻击的原理及其防御
日期:2005年11月24日 作者: 查看:[大字体 中字体 小字体]-
地址状态监控的解决方法是利用监控工具对网络中的有关TCP连接的数据包进行监控,并对监听到的数据包进行处理。处理的主要依据是连接请求的源地址。
每个源地址都有一个状态与之对应,总共有四种状态:
初态:任何源地址刚开始的状态;
NEW状态:第一次出现或出现多次也不能断定存在的源地址的状态;
GOOD状态:断定存在的源地址所处的状态;
BAD状态:源地址不存在或不可达时所处的状态。
具体的动作和状态转换根据TCP头中的位码值决定:
1) 监听到SYN包,如果源地址是第一次出现,则置该源地址的状态为NEW状态;如果是NEW状态或BAD状态;则将该包的RST位置1然后重新发出去,如果是GOOD状态不作任何处理。
2) 监听到ACK或RST包,如果源地址的状态为NEW状态,则转为GOOD状态;如果是GOOD状态则不变;如果是BAD状态则转为NEW状态;如果是BAD状态则转为NEW状态。
3) 监听到从服务器来的SYN ACK报文(目的地址为addr),表明服务器已经为从addr发来的连接请求建立了一个半连接,为防止建立的半连接过多,向服务器发送一个ACK包,建立连接,同时,开始计时,如果超时,还未收到ACK报文,证明addr不可达,如果此时addr的状态为GOOD则转为NEW状态;如果addr的状态为NEW状态则转为BAD状态;如果为addr的状态为BAD状态则不变。
状态的转换图如图3所示:
初态
GOOD
NEW
BAD
ACK/RST
SYN
ACK/RST
ACK包确认超时
ACK/RST
ACK包确认超时
图3 地址状态转换图
下面分析一下基于地址状态监控的方法如何能够防御SYN Flood攻击。
1) 对于一个伪造源地址的SYN报文,若源地址第一次出现,则源地址的状态为NEW状态,当监听到服务器的SYN+ACK报文,表明服务器已经为该源地址的连接请求建立了半连接。此时,监控程序代源地址发送一个ACK报文完成连接。这样,半连接队列中的半连接数不是很多。计时器开始计时,由于源地址是伪造的,所以不会收到ACK报文,超时后,监控程序发送RST数据包,服务器释放该连接,该源地址的状态转为BAD状态。之后,对于每一个来自该源地址的SYN报文,监控程序都会主动发送一个RST报文。
2) 对于一个合法的SYN报文,若源地址第一次出现,则源地址的状态为NEW状态,服务器响应请求,发送SYN+ACK报文,监控程序发送ACK报文,连接建立完毕。之后,来自客户端的ACK很快会到达,该源地址的状态转为GOOD状态。服务器可以很好的处理重复到达的ACK包。
从以上分析可以看出,基于监控的方法可以很好的防御SYN Flood攻击,而不影响正常用户的连接。
3 小结
本文介绍了SYN Flood攻击的基本原理,然后详细描述了两种比较有效和方便实施的防御方法:SYN-cookie技术和基于监控的源地址状态技术。SYN-cookie技术实现了无状态的握手,避免了SYN Flood的资源消耗。基于监控的源地址状态技术能够对每一个连接服务器的IP地址的状态进行监控,主动采取措施避免SYN Flood攻击的影响。这两种技术是目前所有的防御SYN Flood攻击的最为成熟和可行的技术。
参考文献
1. 颜学雄,王清贤,李梅林.SYN Flood攻击原理与预防方法.计算机应用,2000
2. 孙曦,朱晓妍,王育林. DDoS下的TCP洪流攻击及对策. 网络安全技术与应用,2004
3. 李磊,赵永祥,陈常嘉. TCP SYN Flooding原理及其应对策略. 网络与应用,2003
4. 陈波. SYN Flood攻击的原理、实现与防范. 计算机应用与研究,2003(出处:急速软件下载学院)
- 上一页 [1] [2] [3]
-
- SYN flood攻击的原理及其防御 相关文章:
- ·不用防火墙手动对付SYN攻击的办法
- ·防火墙防止DDOS SYN Flood原理详细介绍
- ·利用Hibernate Synchronizer插入oralce.CLOB字段
- ·用Rsync备份Dreamhost 到Windows 上
- ·电影字幕知识手册:用SubResync校准字幂
- ·电影字幕知识手册:用SubResync校准字幕
- ·Rsync+SSH---Server自动异地备援加密
- ·OpenBSD3.8+PF+PFSYNC+CARP
- ·利用防火墙来防止SYN Flood攻击
- ·DSG RealSync在长江证券的容灾解决方案
- SYN flood攻击的原理及其防御 相关软件
- ·Synchromagic ProV4.3.0.7
- ·Atom Time SynchronizerV3.8
- ·Sven Van Hees Synesthesia320k
- ·RadarSync 2V7.1
- ·SyncBackV3.2.8.200
- ·Heatsoft Automatic SynchronizerV1.02 Build 1
- ·AJC Directory SynchronizerV1.16
- ·DirSync Directory SynchronizerV2.01
- ·Synapse Audio Orion PlatinumV5.5
- ·Synapse Orion Pro v5.50注册机
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
精品推荐
热点TOP10
- ·Tpvo/3783 病毒的分析和防治
- ·DLL后门清除完全篇
- ·端口大全及端口关闭方法
- ·关于IPC$空连接和IPC$入侵
- ·VBS脚本病毒原理分析与防范 (1)
- ·卡巴斯基防火墙“反黑客”的设置技巧
- ·你的端口随意开,偶就进去共享你的资料
- ·无线攻防:破解WEP密钥过程全解
- ·SYN flood攻击的原理及其防御
- ·手把手教你禁止端口
- ·解读防火墙日志记录 防范网络攻击
- ·怎么样清除能突破主动防御的新型木马
- ·网络安全专家支招防范黑客攻击九大方法
- ·封杀Windows漏洞 堵住黑客入侵途径
- ·知己知彼百战不殆 如何防范恶意网站
- ·清除威胁 网络蠕虫病毒的检测与防治
- ·网络常见木马的手工清除方法
- ·微软推出修补DirectX重大安全漏洞的补丁
- ·轻松方便 三招两式抵制IE的顽固病毒
- ·ZoneLabs防火墙的安装与设置
特别推荐
- ·解读防火墙日志记录 防范网络攻击
- ·轻松方便 三招两式抵制IE的顽固病毒
- ·怎么样清除能突破主动防御的新型木马
- ·网络安全专家支招防范黑客攻击九大方法
- ·配置防火墙和Web代理客户的访问
- ·个人计算机防范黑客的九大绝招
- ·入侵检测 浅谈安全扫描软件的检测技术
- ·教你九招防范黑客的简单办法
- ·安全专家支招防范黑客攻击九大方法
- ·如何运用包过滤技术实现个人防火墙
- ·不用防火墙手动对付SYN攻击的办法
- ·精典攻防 溢出提权攻击的解决办法
- ·安全知识 当前各种加密方案完全解析
- ·自己动手打造一道超级电脑防火墙
- ·教你打造一道超级防御力的电脑防火墙
- ·企业对付DDoS攻击 资深网管教你几大妙招
- ·四项下一代入侵检测(IDS)关键技术分析
- ·攻略:亲手安装配置DDOS硬件防火墙DIY
- ·解析个中奥妙 防火墙安装终极攻略
- ·教你如何合理高效配置防火墙