【作者投稿】Syn-Flood攻击

Syn-Flood Attack是一种基于TCP/IP协议的拒绝服务攻击,它会造成服务器TCP连接数达到最大上限,从而不能为新的用户的正常访问请求建立TCP连接,以此达到攻击目的。这种攻击方式危害巨大,不仅会让用户体验不佳,更直接的影响是对企业造成严重的经济损失!所以我们有必要了解这种攻击的原理和防御措施。


0x01. TCP/IP三次握手

1.第一次握手:Client将标志位(也就是flags位)SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SENT状态,等待Server确认。

2.第二次握手:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack=J+1,随机产生一个值seq=K,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。

3.第三次握手:Client收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给Server,Server检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。

[*]下面是笔者用Wireshark抓到的三次握手连接,可以看到FLAG位的SYN已经被set为1,读者们也可以自己抓包来分析包结构更好的学习。


0x02. Syn-Flood攻击原理

上图简要介绍了Syn-Flood攻击过程:

1.攻击者先向目标机发送SYN包,请求建立TCP连接

2.目标机接收到SYN包之后,便会进入SYN_RCVD状态,然后又给攻击者回一个SYN-ACK包

3.如果攻击者发送SYN包时用的是伪造IP地址,那么目标机发送的SYN-ACK就很可能不可达,得不到ACK来建立完整的三次握手连接,这时目标机就会保持SYN_RCVD状态直到timeout。想象一下,如果我们一直发送SYN包请求连接,但是又不和目标机器建立完整的TCP连接,一会大家看看我的攻击脚本就知道这是一件多么可怕的事了

4.如果攻击者用的是本主机真实的IP地址的话,那么攻击者接受到ACK之后正常情况下会回复一个RST包(为什么不是ACK呢,因为攻击时我们是用pyhton的scapy库来发包的,本地网卡并不认为自己发送了SYN包,莫名奇妙接收到一个SYN-ACK包当然会回复RST包啦)


0x03. Syn-Flood攻击实战

有了前面的理论基础,大家就能开心的做自己的测试了,就算遇到问题也能轻松的解决啦!所以理论还是很有用的,不要一味的只知道操作步骤而不知道原理。还有就是脚本什么的大家可以根据自己的理解来编写,不一定要用我的蹩脚的代码。

环境准备:

1.Syn-Flood脚本

2.Wireshark抓包工具

3.metaploitable2.0-linux IP=192.168.43.109

Syn-Flood脚本如下(代码下载点阅读原文):

攻击流程:

1.启动metasploit2.0,访问它的web服务,现在我们可以很流畅的访问到

2.启动python脚本,填写必要的参数,当然也可以攻击22,3389之类的基于TCP连接的端口

3.现在查看效果,可以看到web应用已经不能正常访问了,而且靶机的80端口由于受到Syn-Flood攻击全部处于SYN_RECV状态


0x04. 防御措施

看到这里相信大家已经对Syn-Flood这种攻击方式有一定的了解了,下面来谈谈如何应对:

1.如果某个端口和同一个IP建立了多个不完整连接,直接禁IP

2.减少SYN-RECEIVED的过期时间

4.设置防火墙的进站和入站规则

5.记录日志方便溯源追踪真凶


0x05. 结语

关于拒绝服务攻击还有其他很多姿势,如果大家想了解更多的话可以关注一波公众号,我们一起探讨!我们这里也需要大家分享更多的知识一起来营造良好的学习氛围。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-09-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏代码世界

计算机网络基础

计算机网络的发展及基础网络概念 问题:网络到底是什么?计算机之间是如何通信的? 早期 : 联机 ?  以太网 : 局域网与交换机 ? 广播   主机之间“一对所...

401120
来自专栏编程之旅

2.25 网络

发送——》接收 应用层 - 会话层 - 数据层 - 传输层 - 网络层 - 数据链路层 - 物理层

9520
来自专栏互联网杂技

开发人员应该知道的计算机网络知识

前言 作为一名程序员, 不可能不与网络打交道. 现在我们的手机, 电脑, 不夸张地说, 离开了网络就是一块’废铁’, 它们的作用将大打折扣.. 本文的作用呢,主...

43450
来自专栏同步博客

TCP/IP协议

  TCP/IP协议并非单指TCP协议、IP协议,它是一组包括TCP协议和IP协议,UDP(User Datagram Protocol)协议、ICMP(Int...

18530
来自专栏大神带我来搬砖

对Nexus私服的作者真是恨铁不成钢

公司需要搭建maven私服,于是打算搭建nexus服务器。原来一直都是用的nexus OSS 2,感觉还不错,于是下载了最新版的OSS 3来安装。

18710
来自专栏信安之路

浅谈ddos的测试方式

DOS(denial of service--拒绝服务)攻击的目的是使服务正常功能不可用。不像其他类型的攻击的目的是获取敏感信息,Dos攻击是不会威胁到敏感信息...

30700
来自专栏xingoo, 一个梦想做发明家的程序员

计算机网络基础回顾

对于程序员来说,计算机网络的知识是很重要也很基础的。尤其是做web开发就要对http或者https很熟。有的时候涉及到域名,还会碰到跨域问题。这些其实都是计算...

217100
来自专栏玄魂工作室

Web应用系统介绍-TCP/IP协议

大家先冷静一下上了一天班的大脑先~~~ 然后我们再讲理论~ 以下内容非常枯燥,但是也是非常有用~ 在我们开始CTF的道路之前,希望你们能知道并理解下面基本概念...

36040
来自专栏梧雨北辰的开发录

计算机网络基础知识

计算机网络的知识与我们的生活息息相关,对于每一个开发者来说更是十分重要,深入理解它,将有助于我们在实际工作中迅速解决相关问题。本篇就计算机网络的基本知识进行概要...

45130
来自专栏李家的小酒馆

UDP和TCP的区别

UDP(User Data Protocol,用户数据报协议)   UDP是一个无连接,不保证可靠性的传输层协议,也就是说发送端部关心发送的数据是否到达目标主机...

38600

扫码关注云+社区

领取腾讯云代金券