SYN Flood攻击介绍分析和总结.docx

SYNFlood攻击介绍：拒绝服务攻击（DenialofService，DoS）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务。所以，DoS对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。

SYNFlood是最为有效和流行的一种DoS攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送

大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务。

TCP连接建立的过程

要掌握SYNFlood攻击的基本原理，必须先介绍TCP的三次握手机制。

TCP三次握手过程如下：

客户端向服务器端发送一个SYN置位的TCP报文，包含客户端使用的端口号和初始序列号x；

服务器端收到客户端发送来的SYN报文后，向客户端发送一个SYN和ACK都置位的TCP报文，包含确认号为x＋1和服务器的初始序列号y；

3）

TCP客户端

客户端端口

（1024－65535）

TCP服务器端

服务器端口

（1－1023）

SYNSYN/ACKACK

客户端收到服务器返回的SYN＋ACK报文后，向服务器返回一个确认号为y＋1序号为x＋1的ACK

报文，一个标准的TCP连接完成。如图1所示：

攻击原理

在SYNFlood攻击中，黑客机器向受害主机发送大量伪造源地址的TCPSYN报文，受害主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如图2所示。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但是由于端口的半连接队列的长度是有限的，如果不断的向受害主机发送大量的TCPSYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将

导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。

TCP客户端客户端端口

（1024－65535）

TCP服务器端

（1－1023）

SYNSYN/ACK

服务器端口

2几种防御技术

伪造源地址

SYNFlood攻击给互联网造成重大影响后，针对如何防御SYNFlood攻击出现了几种比较有效的技术。

2.1SYN－cookie技术

一般情况下，当服务器收到一个TCPSYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN

＋ACK报文，这时形成一个半连接。SYNFlood正是利用了这一点，发送大量的伪造源地址的SYN连接请求，而不完成连接。这样就大量的消耗的服务器的资源。

SYN－cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN报文后，不立即分配缓冲区，而是利用连接的信息生成一个cookie，并将这个cookie作为将要返回的SYN＋ACK报文的初始序列号。当客户端返回一个 ACK报文时，根据包头信息计算cookie，与返回的确认序列号（初始的序列号＋1）的前24位进行对比，如果相同，则是一个正常连接，

然后，分配资源，建立连接。

该技术的巧妙之点在于避免了在连接信息未完全到达前进行资源分配，使SYNFlood攻击的资源消耗失效。实现的关键之处在于cookie的计算。cookie的计算应该做到包含本次连接的状态信息，使攻击者不能伪造cookie。cookie的计算过程如下：

1）服务器收到一个SYN包后，计算一个消息摘要mac：mac=MAC（A，k）；

cookie计算中需要的安全性。

cookie计算中需要的安全性。

MAC是密码学中的一个消息认证码函数，也就是满足某种安全性质的带密钥的hash函数，它能够提供

A

A为客户和服务器双方的IP地址和端口号以及参数t的串联组合：

A=SOURCE_IP||SOURCE_PORT||DST_IP||DST_PORT||t

A=SOURCE_IP||SOURCE_PORT||DST_IP||DST_PORT||t

K

K为服务器独有的密钥；

时间参数t为32比特长的时间计数器，每64秒加1；

2

2）生成cookie：

cooki

cookie=mac（0:24）：表示取mac值的第0到24比特位；

3

3）设置将要返回的SYN+ACK报文的初始序列号，设置过程如下：

高

高24位用cookie代替；

接下来的3比特位用客户要求的最大报文