SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷��,通過發(fā)送大量的半連接請求����,耗費CPU和內(nèi)存資源。TCP協(xié)議建立連接的時候需要雙方相互確認信息���,來防止連接被偽造和精確控制整個數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效����。所以TCP協(xié)議采用三次握手建立一個連接��。
當一個系統(tǒng)(我們叫他客戶端)嘗試和一個提供了服務的系統(tǒng)(服務器)建立TCP連接�����,C和服務端會交換一系列報文�����。這種連接技術廣泛的應用在各種TCP連接中�����,例如telnet,Web,email,等等�。首先是C發(fā)送一個SYN報文給服務端,然后這個服務端發(fā)送一個SYN-ACK包以回應C����,接著,C就返回一個ACK包來實現(xiàn)一次完整的TCP連接���。就這樣����,C到服務端的連接就建立了���,這時C和服務端就可以互相交換數(shù)據(jù)了���。下面是上文的說明:)
Client —— ——Server
SYN——————–>
<——————–SYN-ACK
ACK——————–>
Client and server can now
send service-specific data
在S返回一個確認的SYN-ACK包的時候有個潛在的弊端,他可能不會接到C回應的ACK包����。這個也就是所謂的半開放連接,S需要耗費一定的數(shù)量的系統(tǒng)內(nèi)存來等待這個未決的連接�,雖然這個數(shù)量是受限的���,但是惡意者可以通過創(chuàng)建很多的半開放式連接來發(fā)動SYN洪水攻擊 。
通過ip欺騙可以很容易的實現(xiàn)半開放連接��。攻擊者發(fā)送SYN包給受害者系統(tǒng)��,這個看起來是合法的�����,但事實上所謂的C根本不會回應這個SYN-ACK報文�����,這意味著受害者將永遠不會接到ACK報文���。而此時�,半開放連接將最終耗用受害者所有的系統(tǒng)資源�,受害者將不能再接收任何其他的請求���。通常等待ACK返回包有超時限制�,所以半開放連接將最終超時����,而受害者系統(tǒng)也會自動修復����。雖然這樣�����,但是在受害者系統(tǒng)修復之前����,攻擊者可以很容易的一直發(fā)送虛假的SYN請求包來持續(xù) 攻擊。 在大多數(shù)情況下����,受害者幾乎不能接受任何其他的請求,但是這種攻擊不會影響到已經(jīng)存在的進站或者是出站連接�����。雖然這樣��,受害者系統(tǒng)還是可能耗盡系統(tǒng)資源�����,以導致其他種種問題。
攻擊系統(tǒng)的位置幾乎是不可確認的����,因為SYN包中的源地址多數(shù)都是虛假的。當SYN包到達受害者系統(tǒng)的時候�,沒有辦法找到他的真實地址 ,因為在基于源地址的數(shù)據(jù)包傳輸中����,源ip過濾是唯一可以驗證數(shù)據(jù)包源的方法。
400-677-3988
