認識來自傳輸層的DoS攻擊

http://www.yibo1263.com　2009-4-28 7:52:15 　來源:ccident 　編輯:葉子

　　TCP SYN flooding是最常用的DoS攻擊方式。

　　TCP連接初始化過程稱為三次握手（three-way handshake）：A連接發(fā)起端發(fā)送標志有SYN位的TCP數(shù)據(jù)包到目的端，用于協(xié)商參數(shù)，初始化連接；B目的端使用SYN/ACK來表明自己的連接參數(shù)并確認發(fā)起端的連接參數(shù)；C發(fā)起端收到SYN/ACK后，使用ACK確認目的端連接參數(shù)。這樣三次TCP包交換，發(fā)起端和接收端之前建立一條TCP連接。當目的端TCP/IP收到一個TCP SYN后，就位將要建立的連接預留資源并等待發(fā)起端確定連接參數(shù)，這對建立穩(wěn)定高效的TCP連接是必要的。但是如果向目的主機發(fā)送大量的TCP SYN，而不回應TCP ACK，使大量連接處于半開狀態(tài)（half-open），導致預留資源長時間不能釋放（直到超時），最終致使目的端資源耗盡。

　　

　　而UDP flooding利用了UDP傳輸?shù)臒o狀態(tài)性，通過發(fā)送大量擁有偽裝IP地址的UDP數(shù)據(jù)包，填滿網(wǎng)絡設備（主要是路由器或防火墻）的連接狀態(tài)表，造成服務被拒絕。

　　Crikey CRC flooding是新出現(xiàn)的一種DoS攻擊方式，目標主要是防火墻等紀錄連接狀態(tài)的網(wǎng)絡安全設備。為了加速數(shù)據(jù)包通過防火墻，防火墻通常不會使用Checksum對數(shù)據(jù)包進行效驗，只是把連接添加到連接狀態(tài)表中；Crikey CRC flooding在TCP和UDP頭部加入錯誤的Checksum值。當這些數(shù)據(jù)包到達目的主機時，因為Checksum錯誤會被拒絕。這樣，實際上沒有建立起來的連接被紀錄到了連接狀態(tài)表中，如果防火墻大量接受到這樣的數(shù)據(jù)包，最終會導致連接狀態(tài)表被填滿，新的連接請求被拒絕。

　　防范方法

　　首先在防火墻上限制TCP SYN的突發(fā)上限，因為防火墻不能識別正常的SYN和惡意的SYN，一般把TCP SYN的突發(fā)量調(diào)整到內(nèi)部主機可以承受的連接量，當超過這個預設的突發(fā)量的時候就自動清理或者阻止，這個功能目前很多寬帶路由都支持，如海蜘蛛路由，只不過每款路由設置項的名稱可能不一樣，原理和效果一樣。一些高端防火墻具有TCP SYN網(wǎng)關和TCP SYN中繼等特殊功能，也可以抵抗TCP SYN flooding,他們都是通過干涉建立過程來實現(xiàn)。具有TCP SYN網(wǎng)關功能的防火墻在收到TCP SYN后，轉(zhuǎn)發(fā)給內(nèi)部主機并記錄該連接，當收到主機的TCP SYN/ACK后，以客戶機的名義發(fā)送TCP ACK給主機，幫助三次握手，把連接由半開狀態(tài)變成全開狀態(tài)（后者比前者占用的資源少）。而具有TCP SYN中繼功能的防火墻在收到TCP SYN后不轉(zhuǎn)發(fā)給內(nèi)部主機，而是代替內(nèi)部主機回應TCP SYN/ACK，如果收到TCP ACK則表示連接非惡意，否則及時釋放半連接所占用資源。

　　請?zhí)砑用枋?src="/Files/BeyondPic/2009-4/28/1240798555909.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2009-4/28/1240798555909.jpg"

　　UDP SYN限制和TCP SYN限制差不多，一般也是設置UDP SYN的突發(fā)連接量，但UDP連接在防火墻上控制相對效果要稍差點，我們可以通過一些客戶端軟件來實現(xiàn)限制單機UDP并發(fā)連接數(shù)限制，最新發(fā)布的海蜘蛛的海盾2.4版就提供了這個功能，效果也還不錯。

　　Crikey CRC flooding主要目標是網(wǎng)絡安全設備，需要為防火墻打上安全補丁，使數(shù)據(jù)包通過時用checksum進行校驗，對于checksum錯誤的TCP和UDP數(shù)據(jù)包丟棄；減小連接狀態(tài)條目老化時間，是不活動的連接數(shù)目要及時清除，防止填滿連接狀態(tài)表。

【收藏】【打印】【進入論壇】

·設置防御小流量DDOS攻擊

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费