安全性測試：SYN flood網絡攻擊

1 SYN Flood攻擊介紹：

　　拒絕服務攻擊（Denial of Service，DoS）是目前比較有效而又非常難于防御的一種網絡攻擊方式，它的目的就是使服務器不能夠為正常訪問的用戶提供服務。所以，DoS對一些緊密依靠互聯網開展業務的企業和組織帶來了致命的威脅。

　　SYN Flood是最為有效和流行的一種DoS攻擊形式。它利用TCP三次握手協議的缺陷，向目標主機發送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務。

　　1.1 TCP連接建立的過程

　　要掌握SYN Flood攻擊的基本原理，必須先介紹TCP的三次握手機制。
　　TCP三次握手過程如下：
　　1)客戶端向服務器端發送一個SYN置位的TCP報文，包含客戶端使用的端口號和初始序列號x；

　　2)服務器端收到客戶端發送來的SYN報文后，向客戶端發送一個SYN和ACK都置位的TCP報文，包含確認號為x＋1和服務器的初始序列號y；

　　3）

TCP客戶端
客戶端端口
（1024－65535）
 
TCP服務器端

服務器端口
（1－1023）
SYN
SYN/ACK
ACK

　　客戶端收到服務器返回的SYN＋ACK報文后，向服務器返回一個確認號為y＋1序號為x＋1的ACK報文，一個標準的TCP連接完成。如圖1所示：

1.2 攻擊原理

　　在SYN Flood攻擊中，黑客機器向受害主機發送大量偽造源地址的TCP SYN報文，受害主機分配必要的資源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如圖2所示。由于源地址是偽造的，所以源端永遠都不會返回ACK報文，受害主機繼續發送SYN＋ACK包，并將半連接放入端口的積壓隊列中，雖然一般的主機都有超時機制和默認的重傳次數，但是由于端口的半連接隊列的長度是有限的，如果不斷的向受害主機發送大量的TCP SYN報文，半連接隊列就會很快填滿，服務器拒絕新的連接，將導致該端口無法響應其他機器進行的連接請求，最終使受害主機的資源耗盡。

 TCP客戶端
客戶端端口
（1024－65535）
 
TCP服務器端
 
服務器端口
（1－1023）
SYN
SYN/ACK
 
偽造源地址

　　2  幾種防御技術

　　SYN Flood攻擊給互聯網造成重大影響后，針對如何防御SYN Flood攻擊出現了幾種比較有效的技術。

2.1   SYN－cookie技術

　　一般情況下，當服務器收到一個TCP SYN報文后，馬上為該連接請求分配緩沖區，然后返回一個SYN＋ACK報文，這時形成一個半連接。SYN Flood正是利用了這一點，發送大量的偽造源地址的SYN連接請求，而不完成連接。這樣就大量的消耗的服務器的資源。

　　SYN－cookie技術針對標準TCP連接建立過程資源分配上的這一缺陷，改變了資源分配的策略。當服務器收到一個SYN報文后，不立即分配緩沖區，而是利用連接的信息生成一個cookie，并將這個cookie作為將要返回的SYN＋ACK報文的初始序列號。當客戶端返回一個ACK報文時，根據包頭信息計算cookie，與返回的確認序列號（初始的序列號＋1）的前24位進行對比，如果相同，則是一個正常連接，然后，分配資源，建立連接。

　　該技術的巧妙之點在于避免了在連接信息未完全到達前進行資源分配，使SYN Flood攻擊的資源消耗失效。實現的關鍵之處在于cookie的計算。cookie的計算應該做到包含本次連接的狀態信息，使攻擊者不能偽造cookie。cookie的計算過程如下：

　　1）服務器收到一個SYN包后，計算一個消息摘要mac：
mac = MAC（A，k）；
MAC是密碼學中的一個消息認證碼函數，也就是滿足某種安全性質的帶密鑰的hash函數，它能夠提供cookie計算中需要的安全性。
A為客戶和服務器雙方的IP地址和端口號以及參數t的串聯組合：
A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t
K為服務器獨有的密鑰；
時間參數t為32比特長的時間計數器，每64秒加1；

　　2）生成cookie：
cookie = mac（0:24）：表示取mac值的第0到24比特位；

　　3）設置將要返回的SYN+ACK報文的初始序列號，設置過程如下：
    i.              高24位用cookie代替；
   ii.              接下來的3比特位用客戶要求的最大報文長度MMS代替；
   iii.              最后5比特位為t mod 32。
　　客戶端收到來自服務器SYN+ACK報文后，返回一個ACK報文，這個ACK報文將帶一個cookie（確認號為服務器發送過來的SYN ACK報文的初始序列號加1，所以不影響高24位），在服務器端重新計算cookie，與確認號的前24位比較，如果相同，則說明未被修改，連接合法，然后，服務器完成連接的建立過程。

　　SYN-cookie技術由于在連接建立過程中不需要在服務器端保存任何信息，實現了無狀態的三次握手，從而有效的防御了SYN Flood攻擊。但是該方法也存在一些弱點。由于cookie的計算只涉及了包頭的部分信心，在連接建立過程中不在服務器端保存任何信息，所以失去了協議的許多功能，比如，超時重傳。此外，由于計算cookie有一定的運算量，增加了連接建立的延遲時間，因此，SYN-cookie技術不能作為高性能服務器的防御手段。通常采用動態資源分配機制，當分配了一定的資源后再采用cookie技術，Linux就是這樣實現的。還有一個問題是，當我們避免了SYN Flood攻擊的同時，同時也提供了另一種拒絕服務攻擊方式，攻擊者發送大量的ACK報文，使服務器忙于計算驗證。盡管如此，在預防SYN Flood攻擊方面，SYN-cookie技術仍然是一種有效的技術。

2.2  地址狀態監控的解決方法

　　地址狀態監控的解決方法是利用監控工具對網絡中的有關TCP連接的數據包進行監控，并對監聽到的數據包進行處理。處理的主要依據是連接請求的源地址。

每個源地址都有一個狀態與之對應，總共有四種狀態：
初態：任何源地址剛開始的狀態；
NEW狀態：第一次出現或出現多次也不能斷定存在的源地址的狀態；
GOOD狀態：斷定存在的源地址所處的狀態；
BAD狀態：源地址不存在或不可達時所處的狀態。
具體的動作和狀態轉換根據TCP頭中的位碼值決定：

　　1）監聽到SYN包，如果源地址是第一次出現，則置該源地址的狀態為NEW狀態；如果是NEW狀態或BAD狀態；則將該包的RST位置1然后重新發出去，如果是GOOD狀態不作任何處理。

　　2）監聽到ACK或RST包，如果源地址的狀態為NEW狀態，則轉為GOOD狀態；如果是GOOD狀態則不變；如果是BAD狀態則轉為NEW狀態；如果是BAD狀態則轉為NEW狀態。

　　3）監聽到從服務器來的SYN ACK報文（目的地址為addr），表明服務器已經為從addr發來的連接請求建立了一個半連接，為防止建立的半連接過多，向服務器發送一個ACK包，建立連接，同時，開始計時，如果超時，還未收到ACK報文，證明addr不可達，如果此時addr的狀態為GOOD則轉為NEW狀態；如果addr的狀態為NEW狀態則轉為BAD狀態；如果為addr的狀態為BAD狀態則不變。
狀態的轉換圖如圖3所示：

初態
GOOD
NEW
BAD
ACK/RST
SYN
ACK/RST
 
ACK包確認超時
ACK/RST
 
ACK包確認超時

下面分析一下基于地址狀態監控的方法如何能夠防御SYN Flood攻擊。

　　1）對于一個偽造源地址的SYN報文，若源地址第一次出現，則源地址的狀態為NEW狀態，當監聽到服務器的SYN+ACK報文，表明服務器已經為該源地址的連接請求建立了半連接。此時，監控程序代源地址發送一個ACK報文完成連接。這樣，半連接隊列中的半連接數不是很多。計時器開始計時，由于源地址是偽造的，所以不會收到ACK報文，超時后，監控程序發送RST數據包，服務器釋放該連接，該源地址的狀態轉為BAD狀態。之后，對于每一個來自該源地址的SYN報文，監控程序都會主動發送一個RST報文。

　　2）對于一個合法的SYN報文，若源地址第一次出現，則源地址的狀態為NEW狀態，服務器響應請求，發送SYN＋ACK報文，監控程序發送ACK報文，連接建立完畢。之后，來自客戶端的ACK很快會到達，該源地址的狀態轉為GOOD狀態。服務器可以很好的處理重復到達的ACK包。
從以上分析可以看出，基于監控的方法可以很好的防御SYN Flood攻擊，而不影響正常用戶的連接。

　　3   小結

　　本文介紹了SYN Flood攻擊的基本原理，然后詳細描述了兩種比較有效和方便實施的防御方法：SYN-cookie技術和基于監控的源地址狀態技術。SYN-cookie技術實現了無狀態的握手，避免了SYN Flood的資源消耗?；诒O控的源地址狀態技術能夠對每一個連接服務器的IP地址的狀態進行監控，主動采取措施避免SYN Flood攻擊的影響。這兩種技術是目前所有的防御SYN Flood攻擊的最為成熟和可行的技術。

原文轉自：http://www.anti-gravitydesign.com