引言:
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
摘要:
阿飞还在睡眼惺忪的时候突然被一阵震耳的铃声惊醒。阿飞今天应该是休息的,最近一段时间为了单位的网络整改耗费了大量的精力,而且已经两周没有休息了,当然在网络公司上班双休日是常常被剥夺的,这一点阿飞早已习以为常了。今天好不容易老板大发慈悲让补休一天,这么早那个讨债鬼打来的电话呢? 阿飞极不耐烦地拿起了电话,“喂,哪位?” “阿飞吗?可不好了,你赶快来公司一趟,老板正到处......
摘要:
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标,信息安全包括两个方面:信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全,如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输......
剖析SYNFlood攻击(1)
syn flood是当前最流行的dos(拒绝服务攻击)与ddos(分布式拒绝服务攻击)的方式之一,这是一种利用tcp协议缺陷,发送大量伪造的tcp连接请求,从而使得被攻击方资源耗尽(cpu满负荷或内存不足)的攻击方式. 【程序编程相关:
PGP密钥】 【推荐阅读:
SSL是如何工作的?】 【扩展信息:
金融防火墙配置规则】 要明白这种攻击的基本原理,还是要从tcp连接建立的过程开始说起: 大家都知道,tcp与udp不同,它是基于连接的,也就是说:为了在服务端与客户端之间传送tcp数据,必须先建立一个虚拟电路,也就是tcp连接,建立tcp连接的标准过程是这样的: 首先,请求端(客户端)发送一个包含syn标志的tcp报文,syn即同步(synchronize),同步报文会指明客户端使用的端口以及tcp连接的初始序号; 第二步,服务器在收到客户端的syn报文后,将返回一个syn+ack的报文,表示客户端的请求被接受,同时tcp序号被加一,ack即确认(acknowledgement). 第三步,客户端也返回一个确认报文ack给服务器端,同样tcp序列号被加一,到此一个tcp连接完成. 以上的连接过程在tcp协议中被称为三次握手(three-way handshake). 问题就出在tcp连接的三次握手中,假设一个用户向服务器发送了syn报文后突然死机或掉线,那么服务器在发出syn+ack应答报文后是无法收到客户端的ack报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送syn+ack给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为syn timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的cpu时间与内存,何况还要不断对这个列表中的ip进行syn+ack的重试.实际上如果服务器的tcp/ip栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的tcp连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了syn flood攻击(syn洪水攻击). 从防御角度来说,有几种简单的解决方法: ...
下一页 摘要:
⒈扫描器 在internet安全领域,扫描器是最出名的破解工具。据说一个好的tcp端口扫描器相 当于一千个用户口令的价值,在深入讨论扫描器之前,行熟悉一下扫描器。 ⑴什么是扫描器 扫描器是自动检测远程或本地主机安全性弱点的程序。通过使用一个扫描器,洛杉矶 的用户可以不留痕迹地发现远在日本的一台服务器的安全性弱点。 ⑵扫描器如何工作 真正的扫描器是tcp端口扫描器,这种......
