fbpx
维基百科

SYN flood

一月 26, 2023

SYN flood或稱SYN洪水SYN洪泛是一種阻斷服務攻擊,起因於攻擊者傳送一系列的SYN請求到目標系統。[1][2]

用戶(Alice)與伺服器之間正常連線狀況。三向交握正確的進行。
SYN Flood。攻擊者(Mallory)傳送許多封包就是不送"ACK"回到伺服器。該連線因此處於半開狀態並吞食伺服器資源。因為阻斷服務攻擊的結果合法用戶Alice與伺服器嘗試建立連線遭拒。

當用戶端試著與伺服器間建立TCP連線時,正常情況下用戶端伺服器端交換一系列的信息如下:

  1. 用戶端透過傳送SYN同步(synchronize)信息到伺服器要求建立連線。
  2. 伺服器透過響應用戶端SYN-ACK以抄收(acknowledge)請求。
  3. 用戶端答應ACK,連線隨之建立。

這即是所謂TCP三向交握,並且這是每個使用TCP傳輸協議建立連線的基礎。

SYN flood是一種廣為人知的攻擊,一般對現代網路不太有效。這種攻擊只有在伺服器在收到SYN後分配資源,但在收到ACK之前這個區段有效。

SYN flood攻擊目前有兩種方法,不過都與伺服器端沒收到ACK有關。惡意用戶可以跳過傳送最後的ACK信息;或者在SYN裡透過欺騙來源IP位址,這讓伺服器送SYN-ACK到假造的IP位址,因此永不可能收到ACK。這兩個案例伺服器會花點時間等抄收通知,故一個簡單的網路壅塞可能是由於沒有ACK造成的。

如果這些半開通連線英语TCP half-open綁定伺服器資源,透過海量SYN信息淹沒伺服器是有可能耗盡其資源。一旦所有資源都撥給半開通連線所保留,沒有新的連線(不管合法不合法)可被建立,導致阻斷服務攻擊。如果系统调用函数需要使用到此类被消耗资源,某些系統可能會出现极为严重的故障,甚至宕機。

過去(1996年)用來分配資源給半開通連線的技術牽涉到通常相當短的佇列[3]。佇列的每個空位可在連線完成、或者到期時[4]被清空。當佇列滿時,新進來的連線建立會失敗。以上面的範例來說,所有新進來的連線在總共8個封包被送出之前會被阻擋下來。也就是說,每3分鐘正時算好的8個封包將阻斷所有新進的TCP連線完成。這讓這種阻斷服務攻擊只須佔很小的傳輸量。

建議的反制方法包括SYN cookie或者限定某一段時間內來自同一來源請求新連線的數量,不過因為現代的TCP/IP堆疊沒有上面所述的瓶頸,因此介於SYN flood與其它種基於通道容量類型的攻擊應該會只有很小或幾乎沒有差別。

反射路由器亦可以被攻擊者所利用,以取代客戶端機器。SYN讲的是黑客利用TCP协议发送大量的半连接请求去攻击目标服务器或者主机,致使目标服务器发生拒绝服务,或者蓝屏。

對策

RFC 4987 中有许多著名的对策,包括:

  1. 過濾
  2. 增加積壓
  3. 減少SYN-RECEIVED定時
  4. 複用古老的半开通TCP英语TCP_half-open
  5. SYN緩存
  6. SYN Cookie
  7. 混合方法
  8. 防火牆和代理

相關概念

參考資料

  1. ^ RFC4987 (页面存档备份,存于互联网档案馆) TCP SYN Flood攻擊與一般對策
  2. ^ New York's Panix Service Is Crippled by Hacker Attack (页面存档备份,存于互联网档案馆), New York Times, September 14, 1996
  3. ^ 例如:8個空位長 (页面存档备份,存于互联网档案馆
  4. ^ 例如:3分鐘後 (页面存档备份,存于互联网档案馆

外部連結

  • CERT官方對SYN攻擊的建議(页面存档备份,存于互联网档案馆
  • Iptables protege contra SYN FLOOD?. [2008-09-25]. (原始内容于2008-06-28) (巴西葡萄牙语). 

一月 26, 2023
flood, 或稱syn洪水, syn洪泛是一種阻斷服務攻擊, 起因於攻擊者傳送一系列的, href, html, title, 传输控制协议, 請求到目標系統, 用戶, alice, 與伺服器之間正常連線狀況, 三向交握正確的進行, flood, 攻擊者, mallory, 傳送許多封包就是不送, 回到伺服器, 該連線因此處於半開狀態並吞食伺服器資源, 因為阻斷服務攻擊的結果合法用戶alice與伺服器嘗試建立連線遭拒, 當用戶端試著與伺服器間建立tcp連線時, 正常情況下用戶端與伺服器端交換一系列的信息如下, 用. SYN flood或稱SYN洪水 SYN洪泛是一種阻斷服務攻擊 起因於攻擊者傳送一系列的 a href E4 BC A0 E8 BE 93 E6 8E A7 E5 88 B6 E5 8D 8F E8 AE AE html title 传输控制协议 SYN a 請求到目標系統 1 2 用戶 Alice 與伺服器之間正常連線狀況 三向交握正確的進行 SYN Flood 攻擊者 Mallory 傳送許多封包就是不送 ACK 回到伺服器 該連線因此處於半開狀態並吞食伺服器資源 因為阻斷服務攻擊的結果合法用戶Alice與伺服器嘗試建立連線遭拒 當用戶端試著與伺服器間建立TCP連線時 正常情況下用戶端與伺服器端交換一系列的信息如下 用戶端透過傳送SYN同步 synchronize 信息到伺服器要求建立連線 伺服器透過響應用戶端SYN ACK以抄收 acknowledge 請求 用戶端答應ACK 連線隨之建立 這即是所謂TCP三向交握 並且這是每個使用TCP傳輸協議建立連線的基礎 SYN flood是一種廣為人知的攻擊 一般對現代網路不太有效 這種攻擊只有在伺服器在收到SYN後分配資源 但在收到ACK之前這個區段有效 SYN flood攻擊目前有兩種方法 不過都與伺服器端沒收到ACK有關 惡意用戶可以跳過傳送最後的ACK信息 或者在SYN裡透過欺騙來源IP位址 這讓伺服器送SYN ACK到假造的IP位址 因此永不可能收到ACK 這兩個案例伺服器會花點時間等抄收通知 故一個簡單的網路壅塞可能是由於沒有ACK造成的 如果這些半開通連線 英语 TCP half open 綁定伺服器資源 透過海量SYN信息淹沒伺服器是有可能耗盡其資源 一旦所有資源都撥給半開通連線所保留 沒有新的連線 不管合法不合法 可被建立 導致阻斷服務攻擊 如果系统调用函数需要使用到此类被消耗资源 某些系統可能會出现极为严重的故障 甚至宕機 過去 1996年 用來分配資源給半開通連線的技術牽涉到通常相當短的佇列 3 佇列的每個空位可在連線完成 或者到期時 4 被清空 當佇列滿時 新進來的連線建立會失敗 以上面的範例來說 所有新進來的連線在總共8個封包被送出之前會被阻擋下來 也就是說 每3分鐘正時算好的8個封包將阻斷所有新進的TCP連線完成 這讓這種阻斷服務攻擊只須佔很小的傳輸量 建議的反制方法包括SYN cookie或者限定某一段時間內來自同一來源請求新連線的數量 不過因為現代的TCP IP堆疊沒有上面所述的瓶頸 因此介於SYN flood與其它種基於通道容量類型的攻擊應該會只有很小或幾乎沒有差別 反射路由器亦可以被攻擊者所利用 以取代客戶端機器 SYN讲的是黑客利用TCP协议发送大量的半连接请求去攻击目标服务器或者主机 致使目标服务器发生拒绝服务 或者蓝屏 目录 1 對策 2 相關概念 3 參考資料 4 外部連結對策 编辑在 RFC 4987 中有许多著名的对策 包括 過濾 增加積壓 減少SYN RECEIVED定時 複用古老的半开通TCP 英语 TCP half open SYN緩存 SYN Cookie 混合方法 防火牆和代理相關概念 编辑阻斷服務攻擊 互联网控制消息协议 IP地址欺骗 Smurf attack 英语 Smurf attack Ping flood 英语 Ping flood 參考資料 编辑 RFC4987 页面存档备份 存于互联网档案馆 TCP SYN Flood攻擊與一般對策 New York s Panix Service Is Crippled by Hacker Attack 页面存档备份 存于互联网档案馆 New York Times September 14 1996 例如 8個空位長 页面存档备份 存于互联网档案馆 例如 3分鐘後 页面存档备份 存于互联网档案馆 外部連結 编辑CERT官方對SYN攻擊的建議 页面存档备份 存于互联网档案馆 Iptables protege contra SYN FLOOD 2008 09 25 原始内容存档于2008 06 28 巴西葡萄牙语 取自 https zh wikipedia org w index php title SYN flood amp oldid 68286500, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。