SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DdoS(分布式拒絕服務攻擊)的方式之一����,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求�����,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式��。對于SYN Flood攻擊����,目前尚沒有很好的監測和防御方法��,不過如果系統管理員熟悉攻擊方法和系統架構�����,通過一系列的設定��,也能從一定程度上降低被攻擊系統的負荷,減輕負面的影響��。
一般來說�����,如果一個系統(或主機)負荷突然升高甚至失去響應��,使用Netstat ming令能看到大量SYN_RCVD的半連接(數量>500或占總連接數的10%以上)����,可以認定,這個系統(或主機)遭到了SYN Flood攻擊��。遭到SYN Flood攻擊后����,首先要做的是取證��,通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連接狀態是必要的��,如果有嗅探器��,或者TcpDump之類的工具�����,記錄TCP SYN報文的所有細節也有助于以后追查和防御��,需要記錄的字段有:源地址��、IP首部中的標識�����、TCP首部中的序列號�����、TTL值等����,這些信息雖然很可能是攻擊者偽造的,但是用來分析攻擊者的心理狀態和攻擊程序也不無幫助��。特別是TTL值��,如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同�����,我們往往能推斷出攻擊者與我們之間的路由器距離����,至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷(在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問)。從防御角度來說�����,有幾種簡單的解決方法:
(1)縮短SYN Timeout時間
由于SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數����,這個值=SYN攻擊的頻度 x SYN Timeout�����,所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間�����,例如設置為20秒以下(過低的SYN Timeout設置可能會影響客戶的正常訪問),可以成倍的降低服務器的負荷�����。
(2)設置SYN Cookie
就是給每一個請求連接的IP地址分配一個Cookie��,如果短時間內連續受到某個IP的重復SYN報文��,就認定是受到了攻擊�����,以后從這個IP地址來的包會被丟棄����。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊����,縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效,SYN Cookie更依賴于對方使用真實的IP地址����,如果攻擊者以數萬/秒的速度發送SYN報文,同時利用SOCK_RAW隨機改寫IP報文中的源地址,以上的方法將毫無用武之地��。
(3)負反饋策略
參考一些流行的操作系統�����,如Windows2000的SYN攻擊保護機制:正常情況下��,OS對TCP連接的一些重要參數有一個常規的設置: SYN Timeout時間�����、SYN-ACK的重試次數��、SYN報文從路由器到系統再到Winsock的延時等等����。這個常規設置針對系統優化��,可以給用戶提供方便快捷的服務��;一旦服務器受到攻擊����,SYN Half link 的數量超過系統中TCP活動 Half Connction最大連接數的設置,系統將會認為自己受到了SYN Flood攻擊,并將根據攻擊的判斷情況作出反應:減短SYN Timeout時間�����、減少SYN-ACK的重試次數��、自動對緩沖區中的報文進行延時等等措施��,力圖將攻擊危害減到最低�����。如果攻擊繼續�����,超過了系統允許的最大Half Connection 值����,系統已經不能提供正常的服務了,為了保證系統不崩潰����,可以將任何超出最大Half Connection 值范圍的SYN報文隨機丟棄,保證系統的穩定性����。
所以����,可以事先測試或者預測該主機在峰值時期的Half Connction 的活動數量上限����,以其作為參考設定TCP活動 Half Connction最大連接數的值,然后再以該值的倍數(不要超過2)作為TCP最大Half Connection值����,這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。
(4)退讓策略
退讓策略是基于SYN Flood攻擊代碼的一個缺陷����,我們重新來分析一下SYN Flood攻擊者的流程:SYN Flood程序有兩種攻擊方式,基于IP的和基于域名的�����,前者是攻擊者自己進行域名解析并將IP地址傳遞給攻擊程序��,后者是攻擊程序自動進行域名解析�����,但是它們有一點是相同的�����,就是一旦攻擊開始��,將不會再進行域名解析����,我們的切入點正是這里:假設一臺服務器在受到SYN Flood攻擊后迅速更換自己的IP地址,那么攻擊者仍在不斷攻擊的只是一個空的IP地址����,并沒有任何主機,而防御方只要將DNS解析更改到新的IP地址就能在很短的時間內(取決于DNS的刷新時間)恢復用戶通過域名進行的正常訪問����。為了迷惑攻擊者,我們甚至可以放置一臺“犧牲”服務器讓攻擊者滿足于攻擊的“效果”(由于DNS緩沖的原因����,只要攻擊者的瀏覽器不重起,他訪問的仍然是原先的IP地址)����。
(5)分布式DNS負載均衡
在眾多的負載均衡架構中����,基于DNS解析的負載均衡本身就擁有對SYN Flood的免疫力��,基于DNS解析的負載均衡能將用戶的請求分配到不同IP的服務器主機上��,攻擊者攻擊的永遠只是其中一臺服務器��,一來這樣增加了攻擊者的成本����,二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡(DNS請求不同于SYN攻擊,是需要返回數據的����,所以很難進行IP偽裝)。
(6)防火墻Qos
對于防火墻來說�����,防御SYN Flood攻擊的方法取決于防火墻工作的基本原理��,一般說來����,防火墻可以工作在TCP層之上或IP層之下,工作在TCP層之上的防火墻稱為網關型防火墻�����,網關型防火墻布局中��,客戶機與服務器之間并沒有真正的TCP連接�����,客戶機與服務器之間的所有數據交換都是通過防火墻代理的�����,外部的DNS解析也同樣指向防火墻�����,所以如果網站被攻擊����,真正受到攻擊的是防火墻,這種防火墻的優點是穩定性好��,抗打擊能力強��,但是因為所有的TCP報文都需要經過防火墻轉發,所以效率比較低由于客戶機并不直接與服務器建立連接�����,在TCP連接沒有完成時防火墻不會去向后臺的服務器建立新的TCP連接��,所以攻擊者無法越過防火墻直接攻擊后臺服務器����,只要防火墻本身做的足夠強壯,這種架構可以抵抗相當強度的SYN Flood攻擊�����。
但是由于防火墻實際建立的TCP連接數為用戶連接數的兩倍(防火墻兩端都需要建立TCP連接)�����,同時又代理了所有的來自客戶端的TCP請求和數據傳送����,在系統訪問量較大時,防火墻自身的負荷會比較高����,所以這種架構并不能適用于大型網站����。(我感覺�����,對于這樣的防火墻架構��,使用TCP_STATE攻擊估計會相當有效:)
工作在IP層或IP層之下的稱為路由型防火墻��,其工作原理有所不同:客戶機直接與服務器進行TCP連接��,防火墻起的是路由器的作用�����,它截獲所有通過的包并進行過濾��,通過過濾的包被轉發給服務器��,外部的DNS解析也直接指向服務器�����,這種防火墻的優點是效率高�����,可以適應100Mbps-1Gbps的流量��,但是這種防火墻如果配置不當�����,不僅可以讓攻擊者越過防火墻直接攻擊內部服務器�����,甚至有可能放大攻擊的強度�����,導致整個系統崩潰�����。
在這兩種基本模型之外����,有一種新的防火墻模型,它集中了兩種防火墻的優勢,這種防火墻的工作原理如下所示:
第一階段�����,客戶機請求與防火墻建立連接:
第二階段�����,防火墻偽裝成客戶機與后臺的服務器建立連接
第三階段��,之后所有從客戶機來的TCP報文防火墻都直接轉發給后臺的服務器
這種結構吸取了上兩種防火墻的優點�����,既能完全控制所有的SYN報文����,又不需要對所有的TCP數據報文進行代理��,是一種兩全其美的方法�����。近來����,國外和國內的一些防火墻廠商開始研究帶寬控制技術�����,如果能真正做到嚴ge控制�����、分配帶寬����,就能很大程度上防御絕大多數的SYN攻擊�����。
