張文川

摘? 要：SYN-Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標(biāo)服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。為了有效防范這種攻擊，在分析攻擊原理的基礎(chǔ)上，發(fā)現(xiàn)可以使用TCP代理防御及TCP源探測防御方法來解決這個問題，經(jīng)過測試證明，該辦法能夠有效降低SYN Flood攻擊造成的危害。

關(guān)鍵詞：DDoS攻擊;STN Flood攻擊;TCP代理防御;TCP源探測防御

中圖分類號：TP399? ? ?文獻標(biāo)識碼：A

Abstract：SYN-Flood attack is the most common DDoS attack and the most classic denial-of-service attack on the current network.It takes advantage of a flaw in TCP protocol implementation and sends a large number of attack packets of forged source addresses to the port where the network service is located，which may cause the semi-open connection queue in the target server to be occupied，thus preventing other legal users from accessing.In order to effectively prevent this attack，on the basis of analyzing the attack principle，it is found that TCP proxy defense and TCP source detection defense methods can be used to solve this problem.Testsprove that this method can effectively reduce the harm caused by SYN Flood attack.

Keywords：DdoSattack;STN Flood attack;TCP proxy defense;TCP source detection defense

1? ?引言（Introduction）

過去，攻擊者所面臨的主要問題是網(wǎng)絡(luò)寬帶不足，受限于較慢的網(wǎng)絡(luò)速度，攻擊者無法發(fā)出過多的請求。雖然類似“Ping of Death”的攻擊只需要較少量的報文就可以摧毀一個沒有打過補丁的操作系統(tǒng)，但大多數(shù)的DoS攻擊還是需要相當(dāng)大的帶寬，而以個人為單位的攻擊者很難擁有大量的帶寬資源，這個時候就出現(xiàn)了分布式拒絕服務(wù)攻擊DDoS（Distributed Denial of Service）。DDoS攻擊是指攻擊者通過控制大量的僵尸主機（俗稱“肉雞”），向被攻擊目標(biāo)發(fā)送大量精心構(gòu)造的攻擊報文，造成被攻擊者所在網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕向正常用戶的請求提供服務(wù)的效果。如圖1所示。

2? SYN Flood攻擊原理（Principle of SYN Flood attack）

單從字面上看，SYN Food攻擊[1]與TCP協(xié)議中的SYN報文有關(guān)，在了解SYN Food攻擊原理之前，我們先來熟悉一下TCP三次握手的過程，如圖2所示。第一次握手：客戶端向服務(wù)器端發(fā)送一個SYN（Synchronize）報文。第二次握手：服務(wù)器收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，ACK即表示確認(rèn)（Acknowledgment）。第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送ACK報文進行確認(rèn)，ACK報文發(fā)送完畢，三次握手建立成功。

SYN Flood攻擊正是利用了TCP三次握手的這種機制。如圖3所示，攻擊者向目標(biāo)服務(wù)器發(fā)送大量的SYN報文請求，這些SYN報文的源地址一般都是不存在或不可達的。當(dāng)服務(wù)器回復(fù)SYN+ACK報文后，不會收到ACK回應(yīng)報文，導(dǎo)致服務(wù)器上建立大量的半連接。這樣，服務(wù)器的資源會被這些半連接耗盡，導(dǎo)致無法回應(yīng)正常的請求。防火墻防御SYN Flood攻擊時，一般會采用TCP代理和TCP源探測兩種方式。

3? ?TCP代理防御（TCP proxy defense）

TCP代理[2，3]是指防火墻部署在客戶端和服務(wù)器中間，當(dāng)客戶端向服務(wù)器發(fā)送的SYN報文經(jīng)過防火墻時，防火墻代替服務(wù)器與客戶端建立TCP三次握手。如圖4所示，防火墻先對SYN報文進行統(tǒng)計，如果發(fā)現(xiàn)連續(xù)一段時間內(nèi)去往同一目的地址的SYN報文超過預(yù)先設(shè)置的閾值，則啟動TCP代理。啟動TCP代理后，防火墻收到SYN報文，將會代替服務(wù)器回應(yīng)SYN+ACK報文，接下來如果防火墻沒有收到客戶端回應(yīng)的ACK報文，則判定此SYN報文為非正常報文，防火墻代替服務(wù)器保持半連接一定時間后，放棄此連接。如果防火墻收到了客戶端回應(yīng)的ACK報文，則判定此SYN報文為正常業(yè)務(wù)報文，此時防火墻會代替客戶端與服務(wù)器建立TCP三次握手，該客戶端的后續(xù)報文都將直接送到服務(wù)器。整個TCP代理的過程對于客戶端和服務(wù)器都是透明的。TCP代理過程中，防火墻會對收到的每一個SYN報文進行代理和回應(yīng)，并保持半連接，所以當(dāng)SYN報文流量很大時，對防火墻的性能要求非常的高。其實，TCP代理的本質(zhì)就是利用防火墻的高性能，代替服務(wù)器承受半連接帶來的資源消耗，由于防火墻的性能一般比服務(wù)器高很多，所以可以有效防御這種消耗資源的攻擊。

4? SYN Flood預(yù)防配置命令（SYN flood preventive configuration command）

5? ?TCP源探測防御（TCP source detection defense）

TCP代理過程中，防火墻會對收到的每一個SYN報文進行代理和回應(yīng)，并保持半連接，所以當(dāng)SYN報文流量很大時，對防火墻的性能要求非常的高。通常情況下，使用TCP代理[6]可以防御SYN Flood攻擊，但是在報文來回路徑不一致的網(wǎng)絡(luò)環(huán)境中，TCP代理就會出現(xiàn)問題。因為客戶端訪問服務(wù)器的報文會經(jīng)過防火墻，而服務(wù)器回應(yīng)給客戶端的報文不會經(jīng)過防火墻。這種情況下，防火墻向服務(wù)器發(fā)送SYN報文建立TCP三次握手時，服務(wù)器回應(yīng)的SYN+ACK報文不會經(jīng)過防火墻，TCP代理功能不會成功。所以在報文來回路徑不一致的網(wǎng)絡(luò)環(huán)境中，不能使用TCP代理防御SYN Flood攻擊。可是在現(xiàn)網(wǎng)中，報文來回路徑不一致的場景也是很常見的，那這種情況下如果發(fā)生了SYN Flood攻擊，防火墻要怎么防御呢？這就是我們所說的第二個防御方法：TCP源探測[7，8]。TCP源探測是防火墻防御SYN Flood攻擊的另一種方式，在報文來回路徑不一致的場景中也能使用，所以它的應(yīng)用更加普遍。如圖5所示，防火墻先對SYN報文進行統(tǒng)計，如果發(fā)現(xiàn)連續(xù)一段時間內(nèi)去往同一目的地址的SYN報文超過預(yù)先設(shè)置的閾值，則啟動TCP源探測。啟動TCP源探測后，防火墻收到SYN報文，將會回應(yīng)一個帶有錯誤確認(rèn)號的SYN+ACK報文，接下來如果防火墻沒有收到客戶端回應(yīng)的RST報文，則判定此SYN報文為非正常報文，客戶端為虛假源。如果防火墻收到了客戶端回應(yīng)的RST報文，則判定此SYN報文為正常報文，客戶端為真實源。防火墻將該客戶端的IP地址加入白名單，在白名單老花前，在這個客戶端發(fā)出的報文都被認(rèn)為是合法的報文。

6? ?結(jié)論（Conclusion）

STN Flood攻擊屬于技術(shù)含量很高的“高大上”，稱霸DDoS攻擊領(lǐng)域很久，但是通過分析DDoS攻擊原理、SYN Flood攻擊原理，我們就可以利用TCP代理防御及TCP源探測防御方法來解決這個問題。TCP代理的本質(zhì)就是利用防火墻的高性能，代替服務(wù)器承受半連接帶來的資源消耗，由于防火墻的性能一般比服務(wù)器高很多，所以可以有效防御這種消耗資源的攻擊。

參考文獻（References）

[1] Kumar P，TripathiM，NehraA，et al.SAFETY：Early Detection and Mitigation of TCP SYN Flood Utilizing Entropy in SDN[J].IEEE Transactions on Network & Service Management，2018（99）：1.

[2] Zhou J X，LuoK，Wang X C，et al.Ore genesis of the FulePbZn deposit and its relationship with the Emeishan Large Igneous Province：Evidence from mineralogy，bulk COS and in situ SPb isotopes[J].Gondwana Research，2018（54）：161-179.

[3] BroichM，Tulbure M G，VerbesseltJ，et al.Quantifying Australia's dryland vegetation response to flooding and drought at sub-continental scale[J].Remote Sensing of Environment，2018（212）：60-78.

[4] Shin Seung-won，Kim Ri-young，Jang Jong-song.Analysis of TCP SYN Traffic：An Empirical Study[J].IEEE Trans.on Information Theory，2006，45（8）：54-63.

[5] 李馥娟，王群.GPS欺騙攻擊檢測與防御方法研究[J].警察技術(shù)，2018（1）：45-48.

[6] 徐書欣，趙景.ARP欺騙攻擊與防御策略探究[J].現(xiàn)代電子技術(shù)，2018（8）：78-82.

[7] 佚名.基于WinPcap的校園網(wǎng)ARP病毒檢測防御系統(tǒng)設(shè)計與實現(xiàn)[J].測控技術(shù)，2018，37（8）：46-52.

[8] 張濱，袁捷，喬喆，等.高級持續(xù)性威脅分析與防護[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2018（2）：48-51.

作者簡介：

張文川（1981-），男，碩士，副教授.研究領(lǐng)域：計算機網(wǎng)絡(luò)技術(shù).