SYNFlooding网络攻击的原理检测及防御技术.pdf

第18卷第3期 河南机电高等专科学校学报 V01．18№．3 and 2010年05月 Jourrlal越H蛐鲫Mechanical Eiectricel嘲∞e而唱蛳 May．2010 SYN Flooding网络攻击的原理、检测及防御技术’ 赵开新，李晓月 (河南机电高等专科学校计算机科学与技术系，河南新乡453002) 摘要：首先介绍了SYNFlooding攻击原理，接着分析了SYNFlooding攻击的检测方法，并提出了几种防御SYN Flooding攻击的措施，最后综合应用几种SYNFlooding防御方法。设计了一个降低网络服务器被SYN Flooding攻 击可能性的实例。 关键词：DDoS；防火墙；SYN网关；SYN代理 309．2 中图分类号：TP 文献标识码：A 随着Internet的迅速发展和普及，给人们带来方 4)当运行服务器进程的主机B的TCP收到主机 便的同时也带来了严峻的网络安全问题，网络上充满 A的确认后，通知其上层应用进程，连接已经建立。 ofService 了泛洪攻击，尤其是DoS(DenimAttack)，即 拒绝服务攻击，这种攻击的目的是使被攻击的主机、 服务器等网络设备无法提供正常的服务，而近年来在 Denial DoS技术基础上发展起来的DDoS(Distributed of Se!rvi∞)，即分布式拒绝服务攻击，更使被攻击者防 不胜防，目前DDos攻击中最常见的攻击方式是TCP SYN泛洪攻击。 圈1 TCP连接的建立过程 1 SYN Flooding攻击原理 在上述过程中，服务器收到SYN报文后，在发送 SYN／ACK回应客户端之前，需要分配一个数据区记 SYN Flooding利用了TCP／IP协议固有的漏洞，实 录这个未完成的TCP连接，这个数据区通常称为TCB 施对网络中的客户机、服务器进行攻击，它的攻击原 Control (Transmission 理是通过伪造一个SYN报文向服务器发起连接，其源 称为半开连接。这种半开连接仅在收到客户端响应 地址是伪造的或者是一个不存在的地址，服务器接收 报文或者连接超时后才断开，而客户端在收到SYN／ 到报文后发送sYNACK报文应答，由于攻击报文的 ACK报文之后才会分配TCB资源，因此这种不对称 源地址不可达，因此应答报文发出后，不会收到ACK 的资源分配模式会被攻击者所利用形成SYN 报文，造成一个半开连接，如果攻击者发送大量的报 Flooding 文．会在被攻击主机上出现大量的半开连接。从而消 攻击。如果使用一个不存在的源口地址向目标服务 耗其系统资源，使正常的用户无法访问。 器发起连接，该服务