SYN攻击的基础原理 工具及检测方法以及防范技术

  据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例，当时黑客利用的就是简单而有效的SYN攻击，有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法，并全面探讨SYN攻击防范技术。

   一、TCP握手协议

   在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

   第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；

   第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

   第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

   完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：

   未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数：表示未连接队列的最大容纳数目。

   半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

   二、SYN攻击原理

   SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

   三、SYN攻击工具

   SYN攻击实现起来非常的简单，互联网上有大量现成的SYN攻击工具。

   四、检测SYN攻击

   检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击：

# netstat -n -p TCP

tcp　0 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV　-

tcp　0 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV　-

tcp　0 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV　-

tcp　0 0 10.11.11.11:23 222.220.13.25:47393 SYN_RECV　-

tcp　0 0 10.11.11.11:23 212.200.204.182:60427 SYN_RECV　-

tcp　0 0 10.11.11.11:23 232.115.18.38:278 SYN_RECV　-

tcp　0 0 10.11.11.11:23 239.116.95.96:5122 SYN_RECV　-

tcp　0 0 10.11.11.11:23 236.219.139.207:49162 SYN_RECV　-

...

   上面是在LINUX系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态），源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。

   我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数：

＃netstat -n -p TCP | grep SYN_RECV | grep :22 | wc -l

324

   显示TCP端囗22的未连接数有324个，虽然还远达不到系统极限，但应该引起管理员的注意。

   五、SYN攻击防范技术

   关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!