TCP半连接与SYN攻击

TCP握手协议相关概念

TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。TCP建立连接的“三次握手”和关闭连接的“四次挥手”过程详见文章TCP连接的“三次握手”与“四次挥手”和文章TCP连接状态详解。

握手协议中的重要概念:

半连接 

在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.

半连接队列 

在三次握手协议中,服务器维护一个半连接队列,存放半连接。该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的ACK确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。

Backlog参数 

表示半连接队列的最大容纳数目。

SYN-ACK 重传次数 

服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。

半连接存活时间 

是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

SYN攻击

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。 

SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包,服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃。目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。 

Syn攻击是一个典型的DOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击 


netstat -n -p TCP | grep SYN_RECV

更多SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术参见文章TCP漏洞:半连接。

参考

http://blog.csdn.net/cpk154505/article/details/8768241

转载于:https://blog.csdn.net/u011080472/article/details/51209130

    有服务器需求请加QQ1911624872咨询

你可能感兴趣的:(TCP半连接与SYN攻击)