关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

常见攻击之什么是SYN 洪水攻击?如何减轻DDoS攻击

发布时间:2020-05-21 13:38:41

  什么是SYN 洪水攻击?SYN洪水攻击又叫半开放式攻击,也属于阻断服务(DDoS)攻击中的一种。SYN 洪水攻击旨在透过消耗所有可用的伺服器资源,使伺服器无法用于合法流量。透过重复传送初始连线要求(SYN)封包,攻击者能够淹没目标伺服器上所有可用的连接埠,使目标装置缓慢回应或完全不回应合法流量。


  SYN 洪水攻击的工作原理


  SYN洪水攻击是利用TCP连线的交握程序来运作。在正常条件下,TCP连线会呈现三个不同的程序以进行连线。


  1、首先,用户端向伺服器传送一个SYN 封包以初始化连线。


  2、然后,伺服器回应带有SYN/ACK 封包的初始连线,以便确认此通讯。


  3、最后,用户端传回ACK 封包以确认收到来自该伺服器的封包。完成这个封包传送和接收的序列后,TCP 连线将开启并能传送和接收资料。

 下载.png

 

  为建立阻断服务,攻击者会利用这样一个事实:当收到初始SYN封包后,伺服器将使用一个或多个SYN/ACK封包进行回应,并等待交握的最后一个步骤。其运作原理如下:


  1、攻击者将大量SYN封包传送至通常带有伪装 IP地址的目标伺服器。


  2、随后,伺服器回应每个连线要求,并准备好一个开启的连接埠以接收回应。


  3、在伺服器等待最后一个从未到达的ACK 封包的同时,攻击者会继续传送更多SYN 封包。每一个新的SYN 封包的到达,会使伺服器在某一段时间内临时维护新开启的连接埠连线,一旦利用了所有的可用连接埠,伺服器将无法正常运作。



  在网路作业中,当伺服器维持连线开启,但连线另一端的机器却未开启,则此连线可视为半开放。在此类型的DDoS 攻击中,目标伺服器将继续保持连线开启,并在连接埠再次可用之前等待每个连线逾时。结果便是此类型的攻击可视为「半开放式攻击」。


  SYN 洪水攻击可能以三种不同的方式发生:


  1) 直接攻击


  即伪造IP地址进行SYN洪水攻击称为直接攻击。此类攻击中,攻击者完全不会遮罩其IP地址。由于攻击者使用带有真实IP地址的单一来源装置建立攻击,攻击者很容易被发现并受到缓解。为了在目标机器上建立半开放状态,骇客会防止其机器回应伺服器的SYN-ACK封包。这通常可以透过防火墙规则来实现,该规则可阻止SYN封包以外的传出封包,也可以在未到达恶意使用者机器前,预先滤除任何传入SYN-ACK封包。实务上,此方法很少使用(如有),因为缓解相当简单–仅需封锁每个恶意系统的IP地址即可。如果攻击者使用僵尸网路 (例如Mirai僵尸网路 ),他们不会注重遮罩受感染装置的IP。


  2) 伪装的攻击


  恶意使用者还可伪装其传送的每个SYN封包上的IP地址,以便阻止缓解,并使其身分识别更难以发现。尽管封包可能伪装,但这些封包可能会被追溯到其来源。此类侦测工作比较困难,但并非没有可能,尤其在网际网路服务提供者(ISP)愿意提供协助的情况下。


  3)分散式攻击(DDoS)


  如果使用僵尸网路建立攻击,将攻击追溯回其来源的可能性很低。对于新增的混淆层级,攻击者可能也会让每个分散式装置伪装其传送封包的IP地址。如果攻击者使用僵尸网路(例如Mirai僵尸网路),他们通常不会注重遮罩受感染装置的IP。

  下载 (1).png

  透过使用SYN洪水攻击,恶意执行者可尝试在目标装置或服务中使用比其他DDoS攻击明显较少的流量建立阻断服务。无需使用巨流量攻击,它旨在使目标周围的网路基础结构饱和,而SYN攻击仅需大于目标作业系统中的可用待处理项目。如果攻击者能确定逾时之前待处理项目的大小及每个连线维持开启的时长,攻击者就能针对停用此系统所需的确切参数,从而使总流量减少至建立阻断服务所需的最小量。


  如何减轻SYN 洪水攻击?


  SYN 洪水攻击漏洞已由来已久,并且已有一些减轻SYN洪水攻击的途径,这些方法包括:


  1)增加待处理项目伫列


  目标装置中的每个作业系统都有其允许的特定数量的半开放式连线。一个作业系统之所以会对于大量SYN 封包作出回应,旨在使得该作业系统允许可行的半开放式连线之最大数量增加。若要成功增加待处理项目的最大数量,该系统必须保留额外的记忆体资源以处理所有新的要求。如果系统没有足够的记忆体来处理增加的待处理项目伫列大小,系统效能将受到不利影响,但仍应该会优于阻断服务。


  2)回收最旧的半开放式TCP 连线


  另一个缓解策略是当待处理项目一旦填满,覆写最旧的半开放式连线。此策略要求,可以用比待处理项目填满恶意SYN 封包更少的时间,完全建立合法连线。当攻击量增加时,或待处理项目大小过小而无法实行时,将无法进行此特定防御。


  3)SYN Cookie


  此策略涉及由服务器建立Cookie。为避免在填满待处理项目后发生断开连线的风险,服务器将回应带有SYN-ACK 封包的每个连线要求,但另一方面,会删除待处理项目中的SYN 要求,将此要求从记忆体中移除,并使连接埠保持开启状态以准备建立新的连线。如果连线为合法要求,最终ACK 封包将由用户端机器传送回伺服器,随后,服务器将重新建构(具有某些限制) SYN 待处理项目伫列项目。尽管此缓解措施确实会丢失一些有关TCP 连线的资讯,但总比因受到攻击而允许阻断服务发生在合法使用者身上来得好。


  4)配置高防服务器


  DDOS高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击100G以上的服务器,可以为单个客户提供安全防护。简单来说,就是能够帮助网站拒绝服务攻击,并且定时扫描现有的网络主节点,查找可能存在的安全漏洞的服务器。腾正西安高防服务器,高防御的网络架构,有效防御DDOS,CC,UDP,SYN等多种类型的攻击,自建IDC数据中心,带宽资源充足,技术驻点机房7*24全年无休技术支持。了解更多西安高防服务器租用



/template/Home/leleidc/PC/Static