SYN攻击使用TCP的3次握手机制,攻击方利用伪造的IP地址向被攻击方发送请求,如果来自被攻击方的响应消息永远不发送到目的地,被攻击方在等待关闭此连接的过程中会消耗资源,导致成千上万的连接
1、SYN洪泛攻击什么是TCP SYN洪泛发生在OSI第4层? 这种方式是利用TCP协议的特性,握手三次。 攻击者发送TCP同步。 SYN是TCP第三次握手的第一个分组,但是在服务器返回ACK后,其攻击者不再次确认,该TCP连接变为挂起状态,也就是所谓的半连接状态,如果服务器不能接受再次确认,则向攻击者重复发送ACK 这进一步浪费了服务器的资源。 攻击者向服务器发送非常大量的这样的TCP连接,每个连接都无法完成三次握手,从而导致服务器上的这些TCP连接因挂起状态而消耗CPU和存储器,最终服务器冻结,无法为普通用户提供服务
2、SYN泛洪攻击的原理众所周知,一个TCP连接的启动需要经过三次握手过程。 通常,客户端首先向服务端发送SYN消息,然后服务端在SYN ACK消息中到达客户端,最后客户端向服务端发送ACK消息,完成握手三次,然后是更高级别,直到其中一个断开
在此“握手”过程中,如果客户端程序因意外崩溃等原因,收到SYN ACK消息后不再返回ACK,服务端会如何处理呢? 这个时候,服务端“优雅地”等待着。 发送的包是不是不见了? 因此,再次重新发送SYN ACK,如果没有收到客户端的ACK响应,则废弃这次的连接。 这个过程大约“优雅地”分级继续。 此持续时间称为同步时间退出时间。 如果只有个别的这种异常情况,目标服务器端当然会处理,但如果发生大量这种情况,对服务器端来说是一种负担。 为什么会这样呢?
如果握手请求涌向TCP服务端,并且在ACK响应中只发送SYN消息而不结束握手,则服务端会形成一个所谓的“半连接”,即每个请求保持至少一分钟的连接并等待ACK。 要维持这些半连接,需要消耗很多服务的网络连接资源。 如果这些资源在短时间内大部分都充满了半连接,则正常业务请求在此期间将无法获得服务,处于等待状态。
此外,如果这些半连接握手请求是由恶意程序发出并持续进行的,则服务器将长时间丢失服务功能——,从而导致服务拒绝(dos )攻击。 这种攻击方式称为同步洪泛(SYN flood )攻击。
根据普通TCP的三次握手会发送多少SYN消息,将接收多少SYN ACK消息。 攻击方需要销毁这些信息,同时为了隐藏自己,需要大量伪造洪水攻击的源地址,并随机更改为其他地址。 为了获得SYN泛洪攻击的效果,这些伪造的源地址必须能够响应SYN ACK。 例如,这些源地址的主机不存在或者被防火墙等网络设施监听等。
3、防范措施针对防范SYN泛洪攻击,优化主机系统设置是常用手段。 缩短SYN timeout时间,使主机尽快释放对半连接的占用; 另外,例如在SYN cookie的设定中,在短时间内连续接收到来自某IP的重复SYN请求的情况下,视为受到来自该IP的攻击,丢弃来自该IP的后续请求消息。 另外,通过合理采用防火墙等外部网络安全设施,还可以缓解SYN的洪水攻击。