IP知识百科之什么是SYN Flood
syn flood
syn flood是互联网上最原始、最经典的ddos攻击之一。它利用了tcp协议的三次握手机制,攻击者通常向服务器发送海量的变源ip地址或变源端口的tcp syn报文,服务器响应了这些报文后就会生成大量的半连接,当系统资源被耗尽后,服务器将无法提供正常的服务。
增加服务器性能,提供更多的连接能力对于syn flood的海量报文来说杯水车薪,防御syn flood的关键在于判断哪些连接请求来自于真实源,屏蔽非真实源的请求以保障正常的业务请求能得到服务。
syn flood是如何发生的
syn flood顾名思义就是用洪水一样的syn报文进行攻击。syn报文指的是tcp协议中的synchronize报文,是tcp三次握手过程中的首个报文。正常的tcp三次握手过程如下:
在连接超时之前,服务器会一直等待ack报文,此时该连接状态为半开放连接(也称半连接)。半连接会占用服务器的连接数,当连接数被占满时,服务器将无法提供正常的服务。黑客正是通过这个机制来实现syn flood。黑客通常通过伪造的源ip地址或端口,向服务器发送大量的syn报文,请求建立tcp连接。
由于源ip地址或端口是伪造的,服务器发送的syn-ack报文永远不会被真实的客户端接收和回应。极少数情况下,黑客也会使用真实源ip地址,但他们只是通过攻击工具发送海量syn报文,工具并不会响应来自服务器syn-ack报文。无论如何服务器都接收不到ack报文,产生了大量的半连接。
此时服务器需要维持一张巨大的等待列表,不停地重试发送syn-ack报文,同时大量的资源无法释放。当服务器被这些恶意的半连接占满时,就不会再响应新的syn报文,从而导致正常的用户无法建立tcp连接。
如何识别和防御syn flood
对于服务器自身来说,最直接的做法就是提高服务能力,比如组建集群/升级硬件。但是这种方式成本巨大,且对于海量的攻击报文来说并没有太大的作用。因此必须在这些攻击报文到达服务器之前就进行拦截。
然而对于防火墙这类安全设备而言,syn报文是正常的业务报文,防火墙的安全策略必须允许其通过,否则服务器就无法对外提供服务。管理员无法预知哪些是虚假源,也无法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量。
此时就需要anti-ddos系统的能力,它部署在网络入口处,在服务器之前处理syn报文,识别出虚假源,屏蔽来自这些地址的报文,只将合法的syn报文传递给服务器。anti-ddos系统处理syn报文主要有两种手段,源认证和首包丢弃。
源认证:anti-ddos系统拦截客户端发送的syn报文,代替服务器向客户端发送syn-ack报文,如果客户端不应答,则认为该客户端为虚假源;如果客户端应答,则anti-ddos系统认为该客户端为真实源,并将其ip地址加入白名单,在一段时间允许该源发送的所有syn报文通过,也不做代答。
首包丢弃:anti-ddos系统利用首包丢弃来解决大量反弹的syn-ack报文会对网络造成一定压力的问题。正常情况下客户端发送syn报文后如果在一定时间没有收到服务器的syn-ack应答,客户端会重新发送syn报文。anti-ddos系统会丢弃掉收到的第一个syn报文。syn flood攻击时,黑客发送的绝大多数是变源的syn报文,所有的syn报文对于anti-ddos系统来说都是首包,都将被直接丢弃。如果客户端重传了syn报文,anti-ddos系统再对该报文进行源认证。
升级到iOS14后如何小窗口化
农药检测仪的工作原理及性能介绍
AI医疗才起步 AI在医疗领域作为帮手的角色会越来越重要
时钟周期/机器周期/指令周期/12M晶振和1us有啥关系
USB外接电源与锂电池自动切换电路设计
IP知识百科之什么是SYN Flood
针对MOS管寄生参数振荡损坏电路仿真模拟方案
Android 11 DP2证实附近文件分享功能 与AirDrop竞争
白色LED的恒流驱动
深入推动国家人工智能发展战略在北京落实落地
Sub-1G胎压监测芯片可有效预防轮胎故障
下一代WiFi7正在路上,最高传输速率是WiFi 6的三倍之多
荣耀新旗舰Magic 2国内首发,麒麟980+六颗摄像头
11名中国航天员飞天名场面 回顾第一位飞天航天员是谁
ide硬盘接口图 sata硬盘接口图 SCSI硬盘接口图
深度解读电机磁力中心线对正状态
北京联通联合华为成功完成全球首个5G 承载随流检测方案iFIT试点
E-axle新型高功率密度驱动电机系统介绍
发光二极管的主要分类及应用领域
江苏交通抢抓政策“风口”,车联网领域率先示范试点
syn flood是互联网上最原始、最经典的ddos攻击之一。它利用了tcp协议的三次握手机制,攻击者通常向服务器发送海量的变源ip地址或变源端口的tcp syn报文,服务器响应了这些报文后就会生成大量的半连接,当系统资源被耗尽后,服务器将无法提供正常的服务。
增加服务器性能,提供更多的连接能力对于syn flood的海量报文来说杯水车薪,防御syn flood的关键在于判断哪些连接请求来自于真实源,屏蔽非真实源的请求以保障正常的业务请求能得到服务。
syn flood是如何发生的
syn flood顾名思义就是用洪水一样的syn报文进行攻击。syn报文指的是tcp协议中的synchronize报文,是tcp三次握手过程中的首个报文。正常的tcp三次握手过程如下:
在连接超时之前,服务器会一直等待ack报文,此时该连接状态为半开放连接(也称半连接)。半连接会占用服务器的连接数,当连接数被占满时,服务器将无法提供正常的服务。黑客正是通过这个机制来实现syn flood。黑客通常通过伪造的源ip地址或端口,向服务器发送大量的syn报文,请求建立tcp连接。
由于源ip地址或端口是伪造的,服务器发送的syn-ack报文永远不会被真实的客户端接收和回应。极少数情况下,黑客也会使用真实源ip地址,但他们只是通过攻击工具发送海量syn报文,工具并不会响应来自服务器syn-ack报文。无论如何服务器都接收不到ack报文,产生了大量的半连接。
此时服务器需要维持一张巨大的等待列表,不停地重试发送syn-ack报文,同时大量的资源无法释放。当服务器被这些恶意的半连接占满时,就不会再响应新的syn报文,从而导致正常的用户无法建立tcp连接。
如何识别和防御syn flood
对于服务器自身来说,最直接的做法就是提高服务能力,比如组建集群/升级硬件。但是这种方式成本巨大,且对于海量的攻击报文来说并没有太大的作用。因此必须在这些攻击报文到达服务器之前就进行拦截。
然而对于防火墙这类安全设备而言,syn报文是正常的业务报文,防火墙的安全策略必须允许其通过,否则服务器就无法对外提供服务。管理员无法预知哪些是虚假源,也无法做到快速、自动地配置或取消安全策略来应对不可预期的攻击流量。
此时就需要anti-ddos系统的能力,它部署在网络入口处,在服务器之前处理syn报文,识别出虚假源,屏蔽来自这些地址的报文,只将合法的syn报文传递给服务器。anti-ddos系统处理syn报文主要有两种手段,源认证和首包丢弃。
源认证:anti-ddos系统拦截客户端发送的syn报文,代替服务器向客户端发送syn-ack报文,如果客户端不应答,则认为该客户端为虚假源;如果客户端应答,则anti-ddos系统认为该客户端为真实源,并将其ip地址加入白名单,在一段时间允许该源发送的所有syn报文通过,也不做代答。
首包丢弃:anti-ddos系统利用首包丢弃来解决大量反弹的syn-ack报文会对网络造成一定压力的问题。正常情况下客户端发送syn报文后如果在一定时间没有收到服务器的syn-ack应答,客户端会重新发送syn报文。anti-ddos系统会丢弃掉收到的第一个syn报文。syn flood攻击时,黑客发送的绝大多数是变源的syn报文,所有的syn报文对于anti-ddos系统来说都是首包,都将被直接丢弃。如果客户端重传了syn报文,anti-ddos系统再对该报文进行源认证。
升级到iOS14后如何小窗口化
农药检测仪的工作原理及性能介绍
AI医疗才起步 AI在医疗领域作为帮手的角色会越来越重要
时钟周期/机器周期/指令周期/12M晶振和1us有啥关系
USB外接电源与锂电池自动切换电路设计
IP知识百科之什么是SYN Flood
针对MOS管寄生参数振荡损坏电路仿真模拟方案
Android 11 DP2证实附近文件分享功能 与AirDrop竞争
白色LED的恒流驱动
深入推动国家人工智能发展战略在北京落实落地
Sub-1G胎压监测芯片可有效预防轮胎故障
下一代WiFi7正在路上,最高传输速率是WiFi 6的三倍之多
荣耀新旗舰Magic 2国内首发,麒麟980+六颗摄像头
11名中国航天员飞天名场面 回顾第一位飞天航天员是谁
ide硬盘接口图 sata硬盘接口图 SCSI硬盘接口图
深度解读电机磁力中心线对正状态
北京联通联合华为成功完成全球首个5G 承载随流检测方案iFIT试点
E-axle新型高功率密度驱动电机系统介绍
发光二极管的主要分类及应用领域
江苏交通抢抓政策“风口”,车联网领域率先示范试点