2006-12-05

About SYN Flood

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:

大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:

首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;

第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement);

第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。

问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。

目前流行的网络攻击手段还有:

Syn Attach(同步攻击)、ICMP flood(ICMP 泛滥)、UDP flood(UDP泛滥)、Ping of death (死亡ping)、IP spoofing(IP欺骗)、 Port Scan(端口扫描)、Land attack(陆地攻击)、Tear drop attack (撕毁攻击)、Filter IP source route option(过滤IP源路由选项)、IP address sweep option(IP地址扫描攻击)、WinNuke attack(WinNuke攻击)、Java/ActiveX/ZIP/EXE()、 Default packet deny(预设封包拒绝)、User-defined Malicious URL(用户可预设的恶意URL )、Per-source session limiting(每源口的会话限制)、Syn fragments(同步碎片)、Syn and Fin bit set (Syn和Fin位设置(bit set ))、No flags in TCP(TCP无标记)、FIN with no ACK (无确认FIN)、ICMP fragments(ICMP碎片)、Large ICMP(大型 ICMP)、IP source route(IP始发路由)、 IP record route(IP记录路由)、IP security options(IP安全选项)、IP timestamp( IP时间戳)、IP stream(IP流)、IP bad options(IP损害选项)、Unknown protocols(不明协议)等。

No comments: