中文字幕久久波多野结衣AV,三级毛片网,综合国产日韩欧美

您當前所在位置：首頁 → 網(wǎng)絡安全 → 安全防護 → 應用指南：利用網(wǎng)絡設備防范TCP SYN攻擊

應用指南：利用網(wǎng)絡設備防范TCP SYN攻擊 時間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0)

　　TCP是網(wǎng)絡連接過程中主機發(fā)送的第一個包，其非常小，但是又非常的關(guān)鍵。SYN攻擊就是大量利用這些包。由于這些包往往無法有效進行處理，但是主機或者網(wǎng)絡設備無法有效辨別。他們往往需要對每個這種類型的包花費幾秒鐘時間進行嘗試，然后才會放棄提供正常響應。一個包幾秒鐘時間，但是，若包多的話，就會企業(yè)網(wǎng)絡帶來毀滅性的打擊。

　　從本質(zhì)上來說，SYN攻擊是DOS攻擊的一種，他主要利用TCP協(xié)議缺陷，通過發(fā)送大量的半連接請求(TCP數(shù)據(jù)包)，耗費主機或者網(wǎng)絡設備的CPU與內(nèi)存資源。SYN攻擊其范圍比較廣，不僅可以對普通的主機、服務器產(chǎn)生不利影響，而且也會影響到網(wǎng)絡中間設備，如路由器、交換機等等。通常情況下，只要網(wǎng)絡設備或者主機采用了TCP協(xié)議，就可能成為SYN攻擊的受害者。

　　IP欺騙與SYN攻擊是一對好搭檔。配合IP欺騙，SYN攻擊往往可以取得很好的效果。如某個攻擊者可以在利用工具在幾秒鐘時間內(nèi)，偽造大量的不存在的IP地質(zhì)，向某個目標對象不斷發(fā)送數(shù)據(jù)包，服務器回復確認包，并等待客戶的確認。，由于源地址是虛假的，不存在的地址，服務器就會不斷的重法確認直到超時為止。這些偽造的包將長時間占用未連接隊列，正常的連接請求反而無法響應，被丟棄。從而可能就會導致網(wǎng)絡擁塞。

　　既然SYN攻擊這么嚴重，那么能否有效杜絕SYN攻擊呢?可惜的是，到現(xiàn)在為止，還沒有哪個專家說，可以徹底的杜絕SYN攻擊。因為這是TCP協(xié)議的先天性缺陷，難以治療。我們網(wǎng)絡管理員現(xiàn)在可以做的就是如何想方設法，限制其的不利影響。如筆者現(xiàn)在最常用的措施，就是通過各種手段，讓其不影響企業(yè)的關(guān)鍵設備，如服務器、路由器等等。

　　一、通過防火墻代理限制其對服務器的影響

　　通常情況下，出于安全的考慮，我們會把服務器放在防火墻的一側(cè)。在建立TCP連接時，通過防火墻實現(xiàn)代理。TCP代理相當于客戶端和目的服務器間的中間服務器。當某個客戶端要訪問服務器的資源時，這個客戶端不是直接連接到服務器，而是先連接到防火墻這個代理服務器上，然后這個代理服務器再替客戶端去訪問服務器。代理服務器把從服務器中反饋回來的信息轉(zhuǎn)發(fā)給客戶端。所以，從某個角度上來講，防火墻代理服務器對于服務器來說，是一個客戶端，但是，對于真正的客戶端來說，又是一合格服務器。防火墻可以檢查傳入的TCP連接請求，然后執(zhí)行TCP代理的功能。如果防火墻判斷傳入的連接請求時偽造的話，則防火墻就可以采取一定的措施來防止它對防火墻一側(cè)服務器的影響。

　　如筆者企業(yè)現(xiàn)在有一個ERP應用服務，其為全國各地的銷售辦事處提供數(shù)據(jù)上的支持。若這個服務器癱瘓的話，則全國各地的銷售業(yè)務都會受到不同程度的影響。如商品的調(diào)撥等等將無法完成。由于存在大量的網(wǎng)外用戶，筆者很難保證全國各地的用戶主機都是安全的。本著安全至上的原則，就在ERP應用服務器與互聯(lián)網(wǎng)之間設置了防火墻，并啟用了防火墻代理功能，來限制SYN的攻擊，示意圖如下：

? 1、當互聯(lián)網(wǎng)上的某個客戶端需要訪問ERP服務器時，會先發(fā)起一個TCP連接。此時，客戶端不是直接與ERP服務器進行通信，而是跟防火墻代理服務器進行通信。如此的話，就可以隱藏ERP服務器的真實地址，從而防止外部不良人員對ERP服務器進行攻擊。

　　2、防火墻代理接收到客戶端的SYN連接請求時，就會把這個請求轉(zhuǎn)發(fā)給內(nèi)部的ERP服務器。此時，防火墻代理就充當了客戶端的角色。當防火墻代理取得用戶想要的信息之后，就會把這個信息反饋給客戶端。此時，防火墻代理充當了ERP服務器的角色。

可見有了防火墻代理，客戶端與ERP服務器之間就不會直接進行通信。不過光憑如此設置，還是不能夠有效避免SYN攻擊。還需要進行另外的一些設置。

　　如筆者在企業(yè)中，是通過防火墻的TCP定時器參數(shù)來過濾偽造的TCP連接請求。如果防火墻代理遇到偽造的連接請求，則防火墻通常也利用參數(shù)來設置半開放連接中的主動超時時間;防火墻代理也會采用參數(shù)來設置特殊連接和TCP連接請求傳入速率的指標。不過在更改這個參數(shù)的時候，需要注意，要根據(jù)企業(yè)網(wǎng)絡的實際情況進行設置。如果調(diào)整的比較短的話，則如果客戶采用的是慢速鏈路，則他們的連接就可能會超時。

　　如可以利用如下的命令來達到限制SYN攻擊的目的。

　　Ip tcp intercept access-list-number

　　Ip tcp intercept mode watch

　　這兩條命令主要起到如下作用：

　　一是記錄最近一分鐘內(nèi)，有多少會話發(fā)生。通常情況下，它包括有效的會話與無效的會話。也就是說，如果是偽造請求產(chǎn)生的會話，也會在這個記錄中體現(xiàn)出來。

　　二是有多少未完成的會話。通常情況下，這個未完成的會話就可能是偽造請求所產(chǎn)生的會話。當企業(yè)網(wǎng)絡發(fā)生擁塞時，查看這個未完成的會話時，往往可以取得比較有用的信息。網(wǎng)絡管理員可以憑借這個信息判斷是否是由于SYN攻擊所造成的網(wǎng)絡擁塞，了解網(wǎng)絡性能下降的原因。

　　三是最終的確認等待了多久。我們都知道，SYN攻擊其主要的手段就是通過偽造地址，讓服務器疲與去跟源地址進行確認。若源地址遲遲沒有回應的話，則服務器或者網(wǎng)絡設備會不斷的重發(fā)確認信息，直到超過一個延遲的時間。所以，通過"最終的確認等待了多久"這個參數(shù)，也可以發(fā)現(xiàn)網(wǎng)絡中是否存在著SYN攻擊。

　　二、調(diào)整TCP/IP協(xié)議，修改TCP協(xié)議實現(xiàn)

　　第一種限制SYN攻擊的方式要依賴于思科等特定的產(chǎn)品，如防火墻、路由器等等。除此之外，我們還可以通過調(diào)整TCP/IP協(xié)議棧，修改TCP協(xié)議實現(xiàn)來達到防止SYN攻擊。如可以通過增加最大半連接和縮短超時時間、SYN Cookies技術(shù)等來實現(xiàn)我們需要的目標。不過這個調(diào)整技術(shù)難度比較大。同時，調(diào)整TCP/Ip協(xié)議棧，會使得某些應用功能受到影響。所以，管理員在做類似的修改之前，要進行充分了解，并進行詳細、充分的測試才能夠進行部署。

　　如在微軟的操作系統(tǒng)中，提供了一種SynAttackProtec的機制。這也是通過調(diào)整TCP/IP協(xié)議棧的方式來限制SYN的攻擊。他主要是通過關(guān)閉某些Socket選項，同時增加額外的連接指示和減少超時時間，讓系統(tǒng)恩能夠處理更多的SYN連接，以達到防范SYN攻擊的目的。在通常情況下，系統(tǒng)不會啟用這個保護機制。需要網(wǎng)絡管理員進行手工的配置。

　　不過筆者一般不建議采用這種方式。因為它會對現(xiàn)有的應用服務產(chǎn)生比較大的影響，會對現(xiàn)有的網(wǎng)絡應用產(chǎn)生不利的影響，如降低網(wǎng)絡、服務器的穩(wěn)定性等等。所以筆者還是建議通過專門的網(wǎng)絡設備，如路由器或者防火墻來防范SYN攻擊。

　　不過要注意一點，就是無論采用上面的哪一種實現(xiàn)方式，要想徹底的杜絕SYN攻擊是一件不可能完成的任務。除非完全更改TCP實現(xiàn)方式。不過到目前為止，這是不可能的。所以網(wǎng)絡管理員應該對此有一個清醒的認識。任何想試圖杜絕SYN攻擊的嘗試都將無功而返。我們現(xiàn)在所能夠做的，就是想盡一切可行的方法，把SYN攻擊所造成的不利影響控制在一個比較小的范圍之內(nèi);或者說，保護一些關(guān)鍵應用與設備，減少SYN攻擊對其造成的不利影響。

關(guān)鍵詞標簽：TCP,SYN攻擊,網(wǎng)絡設備

相關(guān)閱讀

文章評論

查看所有0條評論>>