51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

SYN攻击原理与检测

作者:佚名
安全 黑客攻防
SYN攻击是通过TCP缺陷进行的一种DOS攻击方式,它不仅可以影响主机,还可以对路由等网络系统产生危害。本文就通过讲述SYN攻击的原理,使管理员能够更好的对其进行检测与防范。

SYN攻击是黑客攻击中最常见的一种攻击方式,SYN攻击非常容易被使用,并且通过结合蠕虫病毒能够产生更大的破坏力。就如同一句老话:想要批判它,先要了解它。为了能够防御SYN攻击,管理员们应当理解SYN攻击原理是什么,并且对服务器进行检测。

一、TCP握手协议

在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。

第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:

未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。

Backlog参数:表示未连接队列的最大容纳数目。

SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。

半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

二、SYN攻击原理

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。

三、SYN攻击工具

了解了SYN攻击原理,实现起来非常的简单,互联网上有大量现成的SYN攻击工具。

Windows系统下的SYN工具:

以synkill.exe为例,运行工具,选择随机的源地址和源端囗,并填写目标机器地址和TCP端囗,激活运行,很快就会发现目标系统运行缓慢。如果攻击效果不明显,可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗,此时可选择允许访问的TCP端囗,通常,Windows系统开放tcp139端囗,UNIX系统开放tcp7、21、23等端囗。

四、检测SYN攻击

检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:

# netstat -n -p TCP tcp 0  0 10.11.11.11:23124.173.152.8:25882  SYN_RECV - tcp 0

0 10.11.11.11:23236.15.133.204:2577  SYN_RECV - tcp 0  0

10.11.11.11:23127.160.6.129:51748  SYN_RECV - tcp 0  0

10.11.11.11:23222.220.13.25:47393  SYN_RECV - tcp 0  0

10.11.11.11:23212.200.204.182:60427 SYN_RECV - tcp 0  0

10.11.11.11:23232.115.18.38:278 SYN_RECV - tcp 0  0

10.11.11.11:23239.116.95.96:5122SYN_RECV - tcp 0  0

10.11.11.11:23236.219.139.207:49162 SYN_RECV - ...

上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。

我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:

#netstat -n -p TCP   grep SYN_RECV   grep :22   wc -l 324

显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。
 

【编辑推荐】

  1. CentOS SYN Flood攻击原理Linux下设置
  2. 对跨站脚本攻击的全面了解
  3. 老话重提:防范跨站脚本攻击
  4. 全面解析跨站脚本攻击
  5. 使用工具和测试防范跨站点脚本攻击
责任编辑:张启峰 来源: 中国IT实验室
SYN攻击原理
相关推荐
CentOS SYN Flood攻击原理Linux下设置
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的CentOSSYN包(synj)开设一个条目,该条目表明服务器已收到CentOSSYN包,并向客户发出确认,正在等待客户的确认包。

2010-02-23 13:24:33

全面处理Linux syn攻击
Linuxsyn攻击是虚拟主机服务商经常会遇到的黑客攻击,这里简单介绍一下如何处理Linuxsyn攻击的处理,以期有所帮助。

2010-03-10 14:18:09

如何进行SYN攻击防范
本文通过过滤网关防护和加固TCPIP协议栈进行防护两种方式,讲解如何进行SYN攻击防范。使广大的管理员能够更好的加强对自己付服务器的安全防护。

2010-09-13 10:45:04

DNS攻击原理防范
DNS分为Client和Server,Client扮演发问的角色,也就是问Server一个DomainName,而Server必须要回答此DomainName的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有,则会往该DNS上所设的的DNS询问,依此得到答案之后,将收到的答案存起来,并回答客户。

2013-05-13 17:33:10

浅谈APT攻击检测防御
从针对Google等公司的极光行动(2009年)、Stuxnet病毒攻击事件(2010年)到McAfee公司公布的针对西方能源公司的夜龙行动(2011)、RSASecureID遭窃取事件(2011年),以及近期的针对韩国金融和政府机构的遭受的网络攻击(2013年),相信大家对“APT攻击”这个概念并不陌生。

2013-07-27 20:19:14

NTP DDoS攻击激增 而SYN洪水攻击更具破环性
多家DDoS防护供应商都表示,在2014年前几个月,基于NTP的DDoS攻击急剧增加。但据另一份报告称,SYN洪水攻击对企业更具破坏性。

2014-04-09 14:15:23

对DDoS攻击实例之SYN Flood攻击的详细内容讲述
以下的文章主要描述的是DDoS攻击实例SYNFlood攻击,下面就是文章的主要内容的详细内容的具体分析,望大家会对其有更好的收获。

2010-09-30 10:01:38

Android平台的恶意攻击检测防护
安全公司PaloAltoNetworks报告了一款在中国流行的针对中国用户的新型Android恶意木马SpyDealer。该恶意程序通过被入侵的无线网络进行传播。

2017-07-14 17:41:20

防止DDOS SYN Flood原理精简版
以下的文章主要是介绍正确防止DDOSSYNFlood原理,以下就是文章对防止DDOSSYNFlood原理的详细内容介绍,望大家借鉴。

2010-09-17 15:36:21

ZK SYN Flood参数优化
Zookeeper集群部分节点连接数量瞬时跌零,导致不少服务发生重连,对业务造成了影响(惊吓),本文就发生的现象进行分析和整理。

2021-09-28 20:19:09

参数优化Zookeeper
浅谈 JavaScript DDoS 攻击原理防御
分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。NickSullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(SubresourceIntegrity,简称SRI)”的Web新技术保护网站免受攻击。

2015-05-18 13:51:08

Web下SQL注入攻击检测防御
此文章主要向大家描述的是在Web下SQL注入攻击的检测和防御的实际应用,同时本文也简要的介绍了有关SQL注入式攻击的原理。

2010-09-08 13:10:03

看Cisco路由器如何应对SYN泛洪攻击
TCP拦截即TCPintercept,大多数的Cisco路由器平台都引用了该功能,其主要作用就是防止SYN泛洪攻击,同时也需要我们配置路由器。

2009-12-17 15:03:06

DDOS攻击攻击种类和原理
到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCPIP协议的漏洞,除非你不用TCPIP,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。

2017-10-12 15:41:45

对DOS攻击原理常见方法描述
对于介绍DOS攻击的文章有很多,但是多数人还是不知道DOS是什么,以及它是怎么实现的。或许以下的文章你从中学到东西。

2010-09-08 12:54:42

验证洪水攻击原理应对方法
无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限,所以总能找到一个方法使请求的值大于该极限值,导致所提供的服务资源耗尽。本篇文章讲述的为DOS攻击中的验证洪水攻击。

2010-09-25 15:52:01

ARP欺骗攻击原理防治的方法描述
以下的文章主要描述的是ARP欺骗攻击原理与对其防治的实际操作方法,以及对ARP欺骗的二种手段的描述,以下就是文章的主要内容讲述。

2010-09-29 10:21:50

SPIKE Proxy:HTTP攻击检测
SpikeProxy是一款开源的以发现网站漏洞为目的的HTTP代理。它是SpikeApplicationTestingSuite的一部分,功能包括自动SQL注入检测、网站爬行(websitecrawling)、登录列表暴力破解、溢出检测和目录游走检测。

2010-12-28 15:26:27

DDoS前世今生 攻击原理防御方法解析
DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是DenialofService的简写就是拒绝服务,而DDoS就是DistributedDenialofService的简写就是分布式拒绝服务。

2009-01-16 10:40:50

取消验证洪水攻击原理应对措施
DOS攻击作为以消耗目标服务器资源,导致目标服务器失去响应为目的的攻击方式,包括了多种攻击途径。即关联洪水攻击以及验证洪水攻击后,我们将要介绍取消验证洪水攻击。

2010-09-25 16:08:40

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服