陶濤

摘要：SYN洪泛攻擊是出現(xiàn)在這幾年的一種具有很強(qiáng)攻擊力而又缺乏有效防御手段的Internet攻擊手段，是目前網(wǎng)絡(luò)安全界研究的熱點。TCP SYN 洪流攻擊是最常見的DoS攻擊手段之一。文中著重對TCP SYN 洪流攻擊及其防范措施進(jìn)行了深入研究，提出了一種新的綜合攻擊檢測技術(shù)，較好地解決了對此類攻擊的防范問題。

關(guān)鍵詞：SYN洪泛攻擊；DOS攻擊；TCP協(xié)議；三次握手協(xié)議；防范策略

中圖分類號TP309文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044（2012）30-7208-02

SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議缺陷，通過發(fā)送大量的半連接請求，耗費CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外，還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng)，事實上SYN攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務(wù)就可以實施。

1 SYN洪泛攻擊原理及其防范策略

1.1 SYN洪泛攻擊所存在的基礎(chǔ)環(huán)境

SYN洪泛攻擊首次出現(xiàn)在1996年。當(dāng)時主要是應(yīng)用于攻擊網(wǎng)絡(luò)服務(wù)提供商（ISP）的郵件和Telnet服務(wù)，并造成了停機(jī)。給服務(wù)器操作造成嚴(yán)重的影響。

SYN攻擊利用的是TCP的三次握手機(jī)制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應(yīng)報文將永遠(yuǎn)發(fā)送不到目的地，那么被攻擊端在等待關(guān)閉這個連接的過程中消耗了資源，如果有成千上萬的這種連接，主機(jī)資源將被耗盡，從而達(dá)到攻擊的目的。

TCP 傳輸控制塊是一種包含一個連接所有信息的傳輸協(xié)議數(shù)據(jù)結(jié)構(gòu)狀態(tài)的TCP連接項目，和已建立完整連接但仍未由應(yīng)用程序通過accept（）調(diào)用提取的項目）。一個單一的傳輸控制塊所占內(nèi)存大小取決于連接中所用的TCP選項和其他一些功能的實現(xiàn)。通常一個傳輸控制塊至少280字節(jié)，在某些操作系統(tǒng)中已經(jīng)超過了1300字節(jié)。TCP的SYN-RECEIVED狀態(tài)用于指出這個連接僅僅是半開連接，請求是否合法仍被質(zhì)疑。傳輸控制塊分配空間的大小取決于接收的SYN包——在連接被完全建立或者說連接發(fā)起人的返回可達(dá)性被證實之前。這就導(dǎo)致了一個明顯潛在的DoS攻擊，到達(dá)的SYN包將被分配過多的傳輸控制塊而導(dǎo)致主機(jī)的內(nèi)核內(nèi)存被耗盡。為了避免這種內(nèi)存耗盡，操作系統(tǒng)通常給監(jiān)聽接口關(guān)聯(lián)了一個"backlog"隊列參數(shù)，它同時維護(hù)連接的傳輸控制塊上限數(shù)量和SYN-RECEIVED狀態(tài)。盡管這種方案使主機(jī)的可用內(nèi)存免遭攻擊，但是backlog隊列本身就帶來了一個（小的）受攻擊源。當(dāng)backlog中沒有空間時，就不可能再響應(yīng)新的連接請求，除非傳輸控制塊能被回收或者從SYN-RECIEVE狀態(tài)中移除。

試圖發(fā)送足夠多的SYN包而耗盡backlog是TCP SYN洪泛的目的。攻擊者在SYN包中加入源IP地址，這樣就不會導(dǎo)致主機(jī)將已分配的傳輸控制塊從SYN-RECEVIED狀態(tài)隊列中移除（因為主機(jī)將響應(yīng)SYN-ACK）。因為TCP是可靠的，目的主機(jī)在斷開半開連接并在SYN-RECIEVED隊列中移除傳輸控制塊之前將等待相當(dāng)長的時間。在此期間，服務(wù)器將不能響應(yīng)其他應(yīng)用程序合法的新TCP連接請求。

1.2 SYN攻擊方式及應(yīng)對方式詳解

SYN攻擊利用的是TCP的三次握手機(jī)制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請求，而被攻擊端發(fā)出的響應(yīng)報文將永遠(yuǎn)發(fā)送不到目的地，那么被攻擊端在等待關(guān)閉這個連接的過程中消耗了資源，如果有成千上萬的這種連接，主機(jī)資源將被耗盡，從而達(dá)到攻擊的目的。

1.2.1 直接攻擊

如果攻擊者用他們自己的沒有經(jīng)過偽裝的IP地址快速地發(fā)送SYN數(shù)據(jù)包，這就是所謂的直接攻擊。這種攻擊非常容易實現(xiàn)，因為它并不涉及攻擊者操作系統(tǒng)用戶層以下的欺騙或修改數(shù)據(jù)包。例如，攻擊者簡單地發(fā)送很多的TCP連接請求來實現(xiàn)這種攻擊。然而，這種攻擊要想奏效攻擊者還必須阻止他的系統(tǒng)響應(yīng)SYN-ACK包，因為任何ACK、RST或ICMP（Internet Control Message Protocol）包都將讓服務(wù)器跳過SYN-RECEIVED狀態(tài)（進(jìn)入下一個狀態(tài)）而移除傳輸控制塊（因為連接已經(jīng)建立成功或被回收了）。攻擊者可以通過設(shè)置防火墻規(guī)則來實現(xiàn)，讓防火墻阻止一切要到達(dá)服務(wù)器的數(shù)據(jù)包（SYN除外），或者讓防火墻阻止一切進(jìn)來的包來使SYN-ACK包在到達(dá)本地TCP處理程序之前就被丟棄了。

一旦被檢測到，這種攻擊非常容易抵御，用一個簡單的防火墻規(guī)則阻止帶有攻擊者IP地址的數(shù)據(jù)包就可以了。這種方法在如今的防火墻軟件中通常都是自動執(zhí)行的。

1.2.2 欺騙式攻擊

SYN洪泛攻擊的另一種方式是IP地址欺騙。它比直接攻擊方式更復(fù)雜一點，攻擊者還必須能夠用有效的IP和TCP報文頭去替換和重新生成原始IP報文。如今，有很多代碼庫能夠幫助攻擊者替換和重新生成原始IP報文。

對于欺騙式攻擊，首先需要考慮的就是選擇地址。要使攻擊成功，位于偽裝IP地址上的主機(jī)必須不能響應(yīng)任何發(fā)送給它們的SYN-ACK包。攻擊者可以用的一個非常簡單的方法，就是僅需偽裝一個源IP地址，而這個IP地址將不能響應(yīng)SYN-ACK包，或許因為這個IP地址上根本就沒有主機(jī)，或許因為對主機(jī)的地址或網(wǎng)絡(luò)屬性進(jìn)行了某些配置。另一種選擇是偽裝許多源地址，攻擊者會假想其中的一些偽裝地址上的主機(jī)將不會響應(yīng)SYN-ACK包。要實現(xiàn)這種方法就需要循環(huán)使用服務(wù)器希望連接的源IP地址列表上的地址，或者對一個子網(wǎng)內(nèi)主機(jī)做相同的修改。

如果一個源地址被重復(fù)地偽裝，這個地址將很快被檢測出來并被過濾掉。在大多數(shù)情況下運(yùn)用許多不同源地址偽裝將使防御變得更加困難。在這種情況下最好的防御方法就是盡可能地阻塞源地址相近的欺騙數(shù)據(jù)包。

假設(shè)攻擊者是在一個“互聯(lián)”的網(wǎng)絡(luò)中（例如一個自治系統(tǒng)（Autonomous System）），由其ISP限制攻擊者所在網(wǎng)絡(luò)流量的輸入輸出過濾將能夠制止這種欺騙攻擊——如果這種方法能被機(jī)構(gòu)部署到正確位置的話。這種流量輸入輸出過濾的防御方式將限制一些合法的通信，比如移動IP三角路由運(yùn)作模式，因此不可能被普遍部署。IP安全協(xié)議（IPsec）同樣也提供了一種抵御欺騙包的優(yōu)秀方式，但是這協(xié)議因為部署限制還不能被使用。由于對于服務(wù)器方通常不可能要求鏈接發(fā)起人的ISP去實施地址過濾或者要求其使用IP安全協(xié)議，因此抵御這種用多地址偽裝的欺騙攻擊還需要更加復(fù)雜的解決方案，將在后文討論到。

1.2.3 分布式攻擊

對于單個運(yùn)用欺騙式攻擊的攻擊者真正的限制因素是如果這些偽裝數(shù)據(jù)包能夠以某種方式被回溯到其真正的地址，攻擊者將被簡單地?fù)魯　１M管回溯過程需要一些時間和ISP之間的配合，但它并不是不可能的。但是攻擊者運(yùn)用在網(wǎng)絡(luò)中主機(jī)數(shù)量上的優(yōu)勢而發(fā)動的分布式SYN洪泛攻擊將更加難以被阻止。如圖3所示，這些主機(jī)群可以用直接攻擊，也可以更進(jìn)一步讓每臺主機(jī)都運(yùn)用欺騙攻擊。

如今，分布式攻擊才是真正可怕的，因為攻擊者可以擁有數(shù)以千計的主機(jī)供他來進(jìn)行拒絕服務(wù)（DoS）攻擊。由于這些大量的主機(jī)能夠不斷地增加或減少，而且能夠改變他們的IP地址和其連接，因此要阻止這類攻擊目前還是一個挑戰(zhàn)。

1.2.4 攻擊的一些參數(shù)

SYN洪泛攻擊能夠比一般的僅僅是向目標(biāo)網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包的蠻力DoS攻擊用更少的數(shù)據(jù)包進(jìn)行攻擊。但是這需要對服務(wù)器的操作系統(tǒng)有一定了解，比如它分配了多少的backlog隊列空間，在超時并丟棄傳輸控制塊前它會將傳輸控制塊在SYN-RECIEVED狀態(tài)里保持多久。例如，攻擊者可以發(fā)送剛好是backlog隊列大小的一定數(shù)量的SYN包，并且其周期剛好是傳輸控制塊被回收的時間，這樣就可以讓服務(wù)器永遠(yuǎn)不可用。

最近的一些系統(tǒng)基本都是默認(rèn)backlog大小為1024字節(jié)，但是網(wǎng)絡(luò)上的很多服務(wù)器都將其配置為128字節(jié)或更少。通常重傳SYN-ACK的時間閾值時5秒，是通常成功接收時間的兩倍，默認(rèn)超時時間是3秒，在第一個SYN-ACK發(fā)出到其傳輸控制塊被回收的時間是189秒。

2 總結(jié)

現(xiàn)在看來，一些SYN緩存技術(shù)的變體應(yīng)該作為固化功能將其植入到服務(wù)器操作系統(tǒng)中去，而且這些變體可以適當(dāng)?shù)那闆r下結(jié)合其他解決方案（基于地址的過濾，ACK偽裝防火墻，IP安全協(xié)議等等）一起部署。目前服務(wù)器的發(fā)展也正在致力于研究防御性更強(qiáng)的TCP協(xié)議，也希望這些補(bǔ)充協(xié)議能夠早日部署。

參考文獻(xiàn)：

[1] 李凱.基于統(tǒng)計特性的SYN Flood攻擊防御方法研究[D].西南交通大學(xué)，2009.

[2] 羅新密.DDoS攻擊防范策略研究[J].湖南商學(xué)院學(xué)報，2003（3）.

[3] 李占新.分布式拒絕服務(wù)攻擊原理和防治策略[J].電腦編程技巧與維護(hù)，2011（16）.

[4] 濮青.DoS（拒絕服務(wù)）攻擊技術(shù)及其防范[J].中國數(shù)據(jù)通信， 2002（8）.

[5] 蔣凌云，王汝傳. 基于流量自相似模型的SYN-Flood DDoS攻擊防范[J].南京郵電大學(xué)學(xué)報：自然科學(xué)版，2007（2） .