SYN代理防御syn-flood攻击的原理及实现.doc

SYN代理防御syn-flood攻击的原理及实现 计算机系统应用hnp://u,,vw.C.S.2011年第20卷第3期 SYN代理防御syn-flood攻击的原理及实现 龙恒 (茂名职业技术学院实训中心,茂名525000) 摘要:syn.flood是拒绝服务攻击中较为常见的一种,它利用建立TCP连接需要进行三次握手的特点,向被攻 击者发送大量非法的第一次握手数据包,导致被攻击者建立了大量的处于SYN— RCVD状态的TCP连接,使得 被攻击者无法建立正常的TCP连接.首先介绍了TCP连接的建立过程,提出了一种代理三次握手的方法来解决 被攻击者的资源被大量消耗的问题,经过测试证明,该办法能够较为有效地降低syn-flood攻击造成的危害. 关键词:DDoS;syn?flood;三次握手;syn—cookies:SYN代理 PrincipleandRealizationofSYNProxyforDefensingSyn-FloodAttack LONGHeng (TrainingCenter,MaomingVocationalTechnicalCollege,Maoming525000,China) Abstract:syn-floodisacommondenialofserviceattack.Itusesthecharacteristicsthatitrequiresthree-wayhandshake toestablishTCPconnectiontosendalargenumberofillegalfirsthandshakepackettothetargegleadingtoestablisha largenumberofTCPconnectionsofSYN— RCVDstateonthetarget.SothetargetcannotestablishnormalTCP connection.ThispaperfirstlydescribestheprocessofestablishingaTCPconnection,andthenproposesawaythat agencythree-wayhandshaketosolvetheproblemofover-consumptionofresources.Itisprovedthatitcanreducethe harmofthesyn-floodattack. Keywords:DDoS;syn-flood;three-wayhandshake;syn-cookies;syn—proxy l引言 拒绝服务攻击(DenialofService,简称DoS)是指 攻击者使用某种方式对目标计算机或者网络进行攻 击,导致目标不能正常提供服务.分布式拒绝服务 (DistributedDenialofService,简称DDoS)攻击是在 DoS的基础上发展起来的,攻击者使用多台计算机对 目标进行攻击,攻击者通常拥有更多的资源(充足运算 能力及带宽),其破坏力远大于DoS攻击,而且比DoS 攻击更难防范.洪水(flood)攻击是DDoS攻击中比较 常见的一种,其原理就是向攻击目标发送大量的非法 数据包,消耗目标的大量资源,由于它的原理比较简 单,攻击者不需要掌握很深专业知识既可发动攻击, 使得这种攻击在互联网中比较泛滥.syn.flood是洪水 攻击中破坏力较强的一种,它利用了TCP协议的弱点, 向攻击目标发送大量非法的第一次握手数据包,导致 ①收稿时间:2010-07-09;收到修改稿时f~q:2010-07.30 214经验交流ExperiencesExchange 正常的访问者不能与攻击目标建立TCP连接.这种攻 击通常比单纯消耗网络带宽的攻击更有杀伤力. 2TCP连接的建立过程 为了描述方便,把请求建立TCP连接的一端称为 客户端,把接受请求的那一端称为服务器.TCP连接 建立之前需要进行一个称为三次握手的过程,图1显 示了这个过程和相关状态的变化: TCP首部中含有6个比特的控制标志L1】,其中跟 三次握手有关的是SYN和ACK这两个标志.客户端 向服务器发送一个SYN标志设置为1的数据包,客户 端进入SYNSEND状态,服务器收到这个SYN标志 设置为1的数据包后进入SYNRCVD状态,这一步 称为第一次握手;服务器向客户端发回一个SYN和 ACK标志都设置为1的数据包,客户端接收到后进入 2011年第20卷第3期http://www_c_S-计算机系统应用 ESTABLISHED状态,这一步称为第二次握手:客户 端向服务器发送一个ACK标志设置为1的数据包,服 务器接收到这个数据包后进入ESTABLISHED状态, 这一步称为第三次握手,三次握手完成后一个TC