IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁網(wǎng)絡(luò)安全安全防護(hù) → 應(yīng)用指南:利用網(wǎng)絡(luò)設(shè)備防范TCP SYN攻擊

應(yīng)用指南:利用網(wǎng)絡(luò)設(shè)備防范TCP SYN攻擊

時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

TCP是網(wǎng)絡(luò)連接過程中主機(jī)發(fā)送的第一個(gè)包,其非常小,但是又非常的關(guān)鍵。SYN攻擊就是大量利用這些包。由于這些包往往無法有效進(jìn)行處理,但是主機(jī)或者網(wǎng)絡(luò)設(shè)備無法有效辨別。他們往往需要對每個(gè)這種類型的包花費(fèi)幾秒鐘時(shí)間進(jìn)行嘗試,然后才會放棄提供正常響應(yīng)。一個(gè)包幾秒鐘時(shí)間,但是,若包多的話,就會企業(yè)網(wǎng)絡(luò)帶來毀滅性的打擊。

  從本質(zhì)上來說,SYN攻擊是DOS攻擊的一種,他主要利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請求(TCP數(shù)據(jù)包),耗費(fèi)主機(jī)或者網(wǎng)絡(luò)設(shè)備的CPU與內(nèi)存資源。SYN攻擊其范圍比較廣,不僅可以對普通的主機(jī)、服務(wù)器產(chǎn)生不利影響,而且也會影響到網(wǎng)絡(luò)中間設(shè)備,如路由器、交換機(jī)等等。通常情況下,只要網(wǎng)絡(luò)設(shè)備或者主機(jī)采用了TCP協(xié)議,就可能成為SYN攻擊的受害者。

  IP欺騙與SYN攻擊是一對好搭檔。配合IP欺騙,SYN攻擊往往可以取得很好的效果。如某個(gè)攻擊者可以在利用工具在幾秒鐘時(shí)間內(nèi),偽造大量的不存在的IP地質(zhì),向某個(gè)目標(biāo)對象不斷發(fā)送數(shù)據(jù)包,服務(wù)器回復(fù)確認(rèn)包,并等待客戶的確認(rèn)。,由于源地址是虛假的,不存在的地址,服務(wù)器就會不斷的重法確認(rèn)直到超時(shí)為止。這些偽造的包將長時(shí)間占用未連接隊(duì)列,正常的連接請求反而無法響應(yīng),被丟棄。從而可能就會導(dǎo)致網(wǎng)絡(luò)擁塞。

  既然SYN攻擊這么嚴(yán)重,那么能否有效杜絕SYN攻擊呢?可惜的是,到現(xiàn)在為止,還沒有哪個(gè)專家說,可以徹底的杜絕SYN攻擊。因?yàn)檫@是TCP協(xié)議的先天性缺陷,難以治療。我們網(wǎng)絡(luò)管理員現(xiàn)在可以做的就是如何想方設(shè)法,限制其的不利影響。如筆者現(xiàn)在最常用的措施,就是通過各種手段,讓其不影響企業(yè)的關(guān)鍵設(shè)備,如服務(wù)器、路由器等等。

  一、通過防火墻代理限制其對服務(wù)器的影響

  通常情況下,出于安全的考慮,我們會把服務(wù)器放在防火墻的一側(cè)。在建立TCP連接時(shí),通過防火墻實(shí)現(xiàn)代理。TCP代理相當(dāng)于客戶端和目的服務(wù)器間的中間服務(wù)器。當(dāng)某個(gè)客戶端要訪問服務(wù)器的資源時(shí),這個(gè)客戶端不是直接連接到服務(wù)器,而是先連接到防火墻這個(gè)代理服務(wù)器上,然后這個(gè)代理服務(wù)器再替客戶端去訪問服務(wù)器。代理服務(wù)器把從服務(wù)器中反饋回來的信息轉(zhuǎn)發(fā)給客戶端。所以,從某個(gè)角度上來講,防火墻代理服務(wù)器對于服務(wù)器來說,是一個(gè)客戶端,但是,對于真正的客戶端來說,又是一合格服務(wù)器。防火墻可以檢查傳入的TCP連接請求,然后執(zhí)行TCP代理的功能。如果防火墻判斷傳入的連接請求時(shí)偽造的話,則防火墻就可以采取一定的措施來防止它對防火墻一側(cè)服務(wù)器的影響。

  如筆者企業(yè)現(xiàn)在有一個(gè)erp應(yīng)用服務(wù),其為全國各地的銷售辦事處提供數(shù)據(jù)上的支持。若這個(gè)服務(wù)器癱瘓的話,則全國各地的銷售業(yè)務(wù)都會受到不同程度的影響。如商品的調(diào)撥等等將無法完成。由于存在大量的網(wǎng)外用戶,筆者很難保證全國各地的用戶主機(jī)都是安全的。本著安全至上的原則,就在ERP應(yīng)用服務(wù)器與互聯(lián)網(wǎng)之間設(shè)置了防火墻,并啟用了防火墻代理功能,來限制SYN的攻擊,示意圖如下:

  1、當(dāng)互聯(lián)網(wǎng)上的某個(gè)客戶端需要訪問ERP服務(wù)器時(shí),會先發(fā)起一個(gè)TCP連接。此時(shí),客戶端不是直接與ERP服務(wù)器進(jìn)行通信,而是跟防火墻代理服務(wù)器進(jìn)行通信。如此的話,就可以隱藏ERP服務(wù)器的真實(shí)地址,從而防止外部不良人員對ERP服務(wù)器進(jìn)行攻擊。

  2、防火墻代理接收到客戶端的SYN連接請求時(shí),就會把這個(gè)請求轉(zhuǎn)發(fā)給內(nèi)部的ERP服務(wù)器。此時(shí),防火墻代理就充當(dāng)了客戶端的角色。當(dāng)防火墻代理取得用戶想要的信息之后,就會把這個(gè)信息反饋給客戶端。此時(shí),防火墻代理充當(dāng)了ERP服務(wù)器的角色。

可見有了防火墻代理,客戶端與ERP服務(wù)器之間就不會直接進(jìn)行通信。不過光憑如此設(shè)置,還是不能夠有效避免SYN攻擊。還需要進(jìn)行另外的一些設(shè)置。

  如筆者在企業(yè)中,是通過防火墻的TCP定時(shí)器參數(shù)來過濾偽造的TCP連接請求。如果防火墻代理遇到偽造的連接請求,則防火墻通常也利用參數(shù)來設(shè)置半開放連接中的主動超時(shí)時(shí)間;防火墻代理也會采用參數(shù)來設(shè)置特殊連接和TCP連接請求傳入速率的指標(biāo)。不過在更改這個(gè)參數(shù)的時(shí)候,需要注意,要根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際情況進(jìn)行設(shè)置。如果調(diào)整的比較短的話,則如果客戶采用的是慢速鏈路,則他們的連接就可能會超時(shí)。

  如可以利用如下的命令來達(dá)到限制SYN攻擊的目的。

  Ip tcp intercept access-list-number

  Ip tcp intercept mode watch

  這兩條命令主要起到如下作用:

  一是記錄最近一分鐘內(nèi),有多少會話發(fā)生。通常情況下,它包括有效的會話與無效的會話。也就是說,如果是偽造請求產(chǎn)生的會話,也會在這個(gè)記錄中體現(xiàn)出來。

  二是有多少未完成的會話。通常情況下,這個(gè)未完成的會話就可能是偽造請求所產(chǎn)生的會話。當(dāng)企業(yè)網(wǎng)絡(luò)發(fā)生擁塞時(shí),查看這個(gè)未完成的會話時(shí),往往可以取得比較有用的信息。網(wǎng)絡(luò)管理員可以憑借這個(gè)信息判斷是否是由于SYN攻擊所造成的網(wǎng)絡(luò)擁塞,了解網(wǎng)絡(luò)性能下降的原因。

  三是最終的確認(rèn)等待了多久。我們都知道,SYN攻擊其主要的手段就是通過偽造地址,讓服務(wù)器疲與去跟源地址進(jìn)行確認(rèn)。若源地址遲遲沒有回應(yīng)的話,則服務(wù)器或者網(wǎng)絡(luò)設(shè)備會不斷的重發(fā)確認(rèn)信息,直到超過一個(gè)延遲的時(shí)間。所以,通過"最終的確認(rèn)等待了多久"這個(gè)參數(shù),也可以發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在著SYN攻擊。

  二、調(diào)整TCP/IP協(xié)議,修改TCP協(xié)議實(shí)現(xiàn)

  第一種限制SYN攻擊的方式要依賴于思科等特定的產(chǎn)品,如防火墻、路由器等等。除此之外,我們還可以通過調(diào)整TCP/IP協(xié)議棧,修改TCP協(xié)議實(shí)現(xiàn)來達(dá)到防止SYN攻擊。如可以通過增加最大半連接和縮短超時(shí)時(shí)間、SYN Cookies技術(shù)等來實(shí)現(xiàn)我們需要的目標(biāo)。不過這個(gè)調(diào)整技術(shù)難度比較大。同時(shí),調(diào)整TCP/Ip協(xié)議棧,會使得某些應(yīng)用功能受到影響。所以,管理員在做類似的修改之前,要進(jìn)行充分了解,并進(jìn)行詳細(xì)、充分的測試才能夠進(jìn)行部署。

  如在微軟的操作系統(tǒng)中,提供了一種SynAttackProtec的機(jī)制。這也是通過調(diào)整TCP/IP協(xié)議棧的方式來限制SYN的攻擊。他主要是通過關(guān)閉某些Socket選項(xiàng),同時(shí)增加額外的連接指示和減少超時(shí)時(shí)間,讓系統(tǒng)恩能夠處理更多的SYN連接,以達(dá)到防范SYN攻擊的目的。在通常情況下,系統(tǒng)不會啟用這個(gè)保護(hù)機(jī)制。需要網(wǎng)絡(luò)管理員進(jìn)行手工的配置。

  不過筆者一般不建議采用這種方式。因?yàn)樗鼤䦟ΜF(xiàn)有的應(yīng)用服務(wù)產(chǎn)生比較大的影響,會對現(xiàn)有的網(wǎng)絡(luò)應(yīng)用產(chǎn)生不利的影響,如降低網(wǎng)絡(luò)、服務(wù)器的穩(wěn)定性等等。所以筆者還是建議通過專門的網(wǎng)絡(luò)設(shè)備,如路由器或者防火墻來防范SYN攻擊。

  不過要注意一點(diǎn),就是無論采用上面的哪一種實(shí)現(xiàn)方式,要想徹底的杜絕SYN攻擊是一件不可能完成的任務(wù)。除非完全更改TCP實(shí)現(xiàn)方式。不過到目前為止,這是不可能的。所以網(wǎng)絡(luò)管理員應(yīng)該對此有一個(gè)清醒的認(rèn)識。任何想試圖杜絕SYN攻擊的嘗試都將無功而返。我們現(xiàn)在所能夠做的,就是想盡一切可行的方法,把SYN攻擊所造成的不利影響控制在一個(gè)比較小的范圍之內(nèi);或者說,保護(hù)一些關(guān)鍵應(yīng)用與設(shè)備,減少SYN攻擊對其造成的不利影響。

關(guān)鍵詞標(biāo)簽:TCP,SYN攻擊,網(wǎng)絡(luò)設(shè)備

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程虛擬主機(jī)中ASPX一些安全設(shè)置虛擬主機(jī)中ASPX一些安全設(shè)置“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理Discuz!配置文件中的安全設(shè)置Discuz!配置文件中的安全設(shè)置

相關(guān)下載

人氣排行 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡(luò)信息的安全性Windows Server 2008利用組策略的安全設(shè)置