萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 認識來自傳輸層的DoS攻擊

認識來自傳輸層的DoS攻擊

  TCP SYN flooding是最常用的DoS攻擊方式。

  TCP連接初始化過程稱為三次握手(three-way handshake):A連接發起端發送標志有SYN位的TCP數據包到目的端,用於協商參數,初始化連接;B目的端使用SYN/ACK來表明自己的連接 參數並確認發起端的連接參數;C發起端收到SYN/ACK後,使用ACK確認目的端連接參數。這樣三次TCP包交換,發起端和接收端之前建立一條TCP連 接。當目的端TCP/IP收到一個TCP SYN後,就位將要建立的連接預留資源並等待發起端確定連接參數,這對建立穩定高效的TCP連接是必要的。但是如果向目的主機發送大量的TCP SYN,而不回應TCP ACK,使大量連接處於半開狀態(half-open),導致預留資源長時間不能釋放(直到超時),最終致使目的端資源耗盡。

  

木馬



  而UDP flooding利用了UDP傳輸的無狀態性,通過發送大量擁有偽裝IP地址的UDP數據包,填滿網絡設備(主要是路由器或防火牆)的連接狀態表,造成服務被拒絕。

  Crikey CRC flooding是新出現的一種DoS攻擊方式,目標主要是防火牆等紀錄連接狀態的網絡安全設備。為了加速數據包通過防火牆,防火牆通常不會使用 Checksum對數據包進行效驗,只是把連接添加到連接狀態表中;Crikey CRC flooding在TCP和UDP頭部加入錯誤的Checksum值。當這些數據包到達目的主機時,因為Checksum錯誤會被拒絕。這樣,實際上沒有 建立起來的連接被紀錄到了連接狀態表中,如果防火牆大量接受到這樣的數據包,最終會導致連接狀態表被填滿,新的連接請求被拒絕。

  防范方法

  首先在防火牆上限制TCP SYN的突發上限,因為防火牆不能識別正常的SYN和惡意的SYN,一般把TCP SYN的突發量調整到內部主機可以承受的連接量,當超過這個預設的突發量的時候就自動清理或者阻止,這個功能目前很多寬帶路由都支持,如海蜘蛛路由,只不 過每款路由設置項的名稱可能不一樣,原理和效果一樣。一些高端防火牆具有TCP SYN網關和TCP SYN中繼等特殊功能,也可以抵抗TCP SYN flooding,他們都是通過干涉建立過程來實現。具有TCP SYN網關功能的防火牆在收到TCP SYN後,轉發給內部主機並記錄該連接,當收到主機的TCP SYN/ACK後,以客戶機的名義發送TCP ACK給主機,幫助三次握手,把連接由半開狀態變成全開狀態(後者比前者占用的資源少)。而具有TCP SYN中繼功能的防火牆在收到TCP SYN後不轉發給內部主機,而是代替內部主機回應TCP SYN/ACK,如果收到TCP ACK則表示連接非惡意,否則及時釋放半連接所占用資源。

  

請添加描述



  UDP SYN限制和TCP SYN限制差不多,一般也是設置UDP SYN的突發連接量,但UDP連接在防火牆上控制相對效果要稍差點,我們可以通過一些客戶端軟件來實現限制單機UDP並發連接數限制,最新發布的海蜘蛛的海盾2.4版就提供了這個功能,效果也還不錯。

  Crikey CRC flooding主要目標是網絡安全設備,需要為防火牆打上安全補丁,使數據包通過時用checksum進行校驗,對於checksum錯誤的TCP和 UDP數據包丟棄;減小連接狀態條目老化時間,是不活動的連接數目要及時清除,防止填滿連接狀態表。


copyright © 萬盛學電腦網 all rights reserved