SYN Flood攻擊的原理及防御

張文川

摘? 要：SYN-Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。為了有效防范這種攻擊，在分析攻擊原理的基礎(chǔ)上，發(fā)現(xiàn)可以使用TCP代理防御及TCP源探測(cè)防御方法來(lái)解決這個(gè)問題，經(jīng)過測(cè)試證明，該辦法能夠有效降低SYN Flood攻擊造成的危害。

關(guān)鍵詞：DDoS攻擊;STN Flood攻擊;TCP代理防御;TCP源探測(cè)防御

中圖分類號(hào)：TP399? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract：SYN-Flood attack is the most common DDoS attack and the most classic denial-of-service attack on the current network.It takes advantage of a flaw in TCP protocol implementation and sends a large number of attack packets of forged source addresses to the port where the network service is located，which may cause the semi-open connection queue in the target server to be occupied，thus preventing other legal users from accessing.In order to effectively prevent this attack，on the basis of analyzing the attack principle，it is found that TCP proxy defense and TCP source detection defense methods can be used to solve this problem.Testsprove that this method can effectively reduce the harm caused by SYN Flood attack.

Keywords：DdoSattack;STN Flood attack;TCP proxy defense;TCP source detection defense

1? ?引言（Introduction）

過去，攻擊者所面臨的主要問題是網(wǎng)絡(luò)寬帶不足，受限于較慢的網(wǎng)絡(luò)速度，攻擊者無(wú)法發(fā)出過多的請(qǐng)求。雖然類似“Ping of Death”的攻擊只需要較少量的報(bào)文就可以摧毀一個(gè)沒有打過補(bǔ)丁的操作系統(tǒng)，但大多數(shù)的DoS攻擊還是需要相當(dāng)大的帶寬，而以個(gè)人為單位的攻擊者很難擁有大量的帶寬資源，這個(gè)時(shí)候就出現(xiàn)了分布式拒絕服務(wù)攻擊DDoS（Distributed Denial of Service）。DDoS攻擊是指攻擊者通過控制大量的僵尸主機(jī)（俗稱“肉雞”），向被攻擊目標(biāo)發(fā)送大量精心構(gòu)造的攻擊報(bào)文，造成被攻擊者所在網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕向正常用戶的請(qǐng)求提供服務(wù)的效果。如圖1所示。

2? SYN Flood攻擊原理（Principle of SYN Flood attack）

單從字面上看，SYN Food攻擊[1]與TCP協(xié)議中的SYN報(bào)文有關(guān)，在了解SYN Food攻擊原理之前，我們先來(lái)熟悉一下TCP三次握手的過程，如圖2所示。第一次握手：客戶端向服務(wù)器端發(fā)送一個(gè)SYN（Synchronize）報(bào)文。第二次握手：服務(wù)器收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，ACK即表示確認(rèn)（Acknowledgment）。第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送ACK報(bào)文進(jìn)行確認(rèn)，ACK報(bào)文發(fā)送完畢，三次握手建立成功。

SYN Flood攻擊正是利用了TCP三次握手的這種機(jī)制。如圖3所示，攻擊者向目標(biāo)服務(wù)器發(fā)送大量的SYN報(bào)文請(qǐng)求，這些SYN報(bào)文的源地址一般都是不存在或不可達(dá)的。當(dāng)服務(wù)器回復(fù)SYN+ACK報(bào)文后，不會(huì)收到ACK回應(yīng)報(bào)文，導(dǎo)致服務(wù)器上建立大量的半連接。這樣，服務(wù)器的資源會(huì)被這些半連接耗盡，導(dǎo)致無(wú)法回應(yīng)正常的請(qǐng)求。防火墻防御SYN Flood攻擊時(shí)，一般會(huì)采用TCP代理和TCP源探測(cè)兩種方式。

3? ?TCP代理防御（TCP proxy defense）

TCP代理[2，3]是指防火墻部署在客戶端和服務(wù)器中間，當(dāng)客戶端向服務(wù)器發(fā)送的SYN報(bào)文經(jīng)過防火墻時(shí)，防火墻代替服務(wù)器與客戶端建立TCP三次握手。如圖4所示，防火墻先對(duì)SYN報(bào)文進(jìn)行統(tǒng)計(jì)，如果發(fā)現(xiàn)連續(xù)一段時(shí)間內(nèi)去往同一目的地址的SYN報(bào)文超過預(yù)先設(shè)置的閾值，則啟動(dòng)TCP代理。啟動(dòng)TCP代理后，防火墻收到SYN報(bào)文，將會(huì)代替服務(wù)器回應(yīng)SYN+ACK報(bào)文，接下來(lái)如果防火墻沒有收到客戶端回應(yīng)的ACK報(bào)文，則判定此SYN報(bào)文為非正常報(bào)文，防火墻代替服務(wù)器保持半連接一定時(shí)間后，放棄此連接。如果防火墻收到了客戶端回應(yīng)的ACK報(bào)文，則判定此SYN報(bào)文為正常業(yè)務(wù)報(bào)文，此時(shí)防火墻會(huì)代替客戶端與服務(wù)器建立TCP三次握手，該客戶端的后續(xù)報(bào)文都將直接送到服務(wù)器。整個(gè)TCP代理的過程對(duì)于客戶端和服務(wù)器都是透明的。TCP代理過程中，防火墻會(huì)對(duì)收到的每一個(gè)SYN報(bào)文進(jìn)行代理和回應(yīng)，并保持半連接，所以當(dāng)SYN報(bào)文流量很大時(shí)，對(duì)防火墻的性能要求非常的高。其實(shí)，TCP代理的本質(zhì)就是利用防火墻的高性能，代替服務(wù)器承受半連接帶來(lái)的資源消耗，由于防火墻的性能一般比服務(wù)器高很多，所以可以有效防御這種消耗資源的攻擊。

4? SYN Flood預(yù)防配置命令（SYN flood preventive configuration command）

5? ?TCP源探測(cè)防御（TCP source detection defense）

TCP代理過程中，防火墻會(huì)對(duì)收到的每一個(gè)SYN報(bào)文進(jìn)行代理和回應(yīng)，并保持半連接，所以當(dāng)SYN報(bào)文流量很大時(shí)，對(duì)防火墻的性能要求非常的高。通常情況下，使用TCP代理[6]可以防御SYN Flood攻擊，但是在報(bào)文來(lái)回路徑不一致的網(wǎng)絡(luò)環(huán)境中，TCP代理就會(huì)出現(xiàn)問題。因?yàn)榭蛻舳嗽L問服務(wù)器的報(bào)文會(huì)經(jīng)過防火墻，而服務(wù)器回應(yīng)給客戶端的報(bào)文不會(huì)經(jīng)過防火墻。這種情況下，防火墻向服務(wù)器發(fā)送SYN報(bào)文建立TCP三次握手時(shí)，服務(wù)器回應(yīng)的SYN+ACK報(bào)文不會(huì)經(jīng)過防火墻，TCP代理功能不會(huì)成功。所以在報(bào)文來(lái)回路徑不一致的網(wǎng)絡(luò)環(huán)境中，不能使用TCP代理防御SYN Flood攻擊。可是在現(xiàn)網(wǎng)中，報(bào)文來(lái)回路徑不一致的場(chǎng)景也是很常見的，那這種情況下如果發(fā)生了SYN Flood攻擊，防火墻要怎么防御呢？這就是我們所說的第二個(gè)防御方法：TCP源探測(cè)[7，8]。TCP源探測(cè)是防火墻防御SYN Flood攻擊的另一種方式，在報(bào)文來(lái)回路徑不一致的場(chǎng)景中也能使用，所以它的應(yīng)用更加普遍。如圖5所示，防火墻先對(duì)SYN報(bào)文進(jìn)行統(tǒng)計(jì)，如果發(fā)現(xiàn)連續(xù)一段時(shí)間內(nèi)去往同一目的地址的SYN報(bào)文超過預(yù)先設(shè)置的閾值，則啟動(dòng)TCP源探測(cè)。啟動(dòng)TCP源探測(cè)后，防火墻收到SYN報(bào)文，將會(huì)回應(yīng)一個(gè)帶有錯(cuò)誤確認(rèn)號(hào)的SYN+ACK報(bào)文，接下來(lái)如果防火墻沒有收到客戶端回應(yīng)的RST報(bào)文，則判定此SYN報(bào)文為非正常報(bào)文，客戶端為虛假源。如果防火墻收到了客戶端回應(yīng)的RST報(bào)文，則判定此SYN報(bào)文為正常報(bào)文，客戶端為真實(shí)源。防火墻將該客戶端的IP地址加入白名單，在白名單老花前，在這個(gè)客戶端發(fā)出的報(bào)文都被認(rèn)為是合法的報(bào)文。

6? ?結(jié)論（Conclusion）

STN Flood攻擊屬于技術(shù)含量很高的“高大上”，稱霸DDoS攻擊領(lǐng)域很久，但是通過分析DDoS攻擊原理、SYN Flood攻擊原理，我們就可以利用TCP代理防御及TCP源探測(cè)防御方法來(lái)解決這個(gè)問題。TCP代理的本質(zhì)就是利用防火墻的高性能，代替服務(wù)器承受半連接帶來(lái)的資源消耗，由于防火墻的性能一般比服務(wù)器高很多，所以可以有效防御這種消耗資源的攻擊。

參考文獻(xiàn)（References）

[1] Kumar P，TripathiM，NehraA，et al.SAFETY：Early Detection and Mitigation of TCP SYN Flood Utilizing Entropy in SDN[J].IEEE Transactions on Network & Service Management，2018（99）：1.

[2] Zhou J X，LuoK，Wang X C，et al.Ore genesis of the FulePbZn deposit and its relationship with the Emeishan Large Igneous Province：Evidence from mineralogy，bulk COS and in situ SPb isotopes[J].Gondwana Research，2018（54）：161-179.

[3] BroichM，Tulbure M G，VerbesseltJ，et al.Quantifying Australia's dryland vegetation response to flooding and drought at sub-continental scale[J].Remote Sensing of Environment，2018（212）：60-78.

[4] Shin Seung-won，Kim Ri-young，Jang Jong-song.Analysis of TCP SYN Traffic：An Empirical Study[J].IEEE Trans.on Information Theory，2006，45（8）：54-63.

[5] 李馥娟，王群.GPS欺騙攻擊檢測(cè)與防御方法研究[J].警察技術(shù)，2018（1）：45-48.

[6] 徐書欣，趙景.ARP欺騙攻擊與防御策略探究[J].現(xiàn)代電子技術(shù)，2018（8）：78-82.

[7] 佚名.基于WinPcap的校園網(wǎng)ARP病毒檢測(cè)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].測(cè)控技術(shù)，2018，37（8）：46-52.

[8] 張濱，袁捷，喬喆，等.高級(jí)持續(xù)性威脅分析與防護(hù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2018（2）：48-51.

作者簡(jiǎn)介：

張文川（1981-），男，碩士，副教授.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).