首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

TCP SYN Flood攻击的原理机制/检测与防范及防御方法


http://www.gipsky.com/
<STRONG>TCP SYN Flood检测与防范</STRONG>

一、分析

  从上面的分析,可以看出TCP SYN Flood远程拒绝服务攻击具有以下特点:

  针对TCP/IP协议的薄弱环节进行攻击;

  发动攻击时,只要很少的数据流量就可以产生显著的效果;

  攻击来源无法定位;

  在服务端无法区分TCP连接请求是否合法。

  二、系统检查

  一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。

  1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时;

  2、通过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。

<IMG alt="Click to Open in New Window" src="http://www.net130.com/CMS/Files/Uploa ... /anquan05263-02.gif" onload="javascript:if(this.width>screen.width-300)this.width=screen.width-300" border=0>



三、防范

  如何才能做到有效的防范呢?

  1、 TCP Wrapper

  使用TCP Wrapper(只有unix-like系统支持该功能,NT?可怜)可能在某些有限的场合下有用,比如服务端只处理有限来源IP的TCP连接请求,其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务,更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。

  2、增加TCP Backlog容量

  增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存,另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。

  3、 ISP接入

  所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法,如果非指定来源IP地址范围,可以认为是IP Spoofing行为并将之丢弃。

<IMG alt="Click to Open in New Window" src="http://www.net130.com/CMS/Files/Uploa ... /anquan05263-01.gif" onload="javascript:if(this.width>screen.width-300)this.width=screen.width-300" border=0>



在实际环境中,应为涉及的范围太过广泛,该方案无法实施。这是一个社会问题而非技术问题。

本新闻共3页,当前在第2页 1 2 3
<< 路由器安全保护基本方法 TCP SYN Flood攻击的原理机制/检测与防范及防御方法 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8