平特心水报图
新網絡營銷基礎與實踐

你的位置:首頁 >網絡營銷 >SYN包

SYN包

概述  

   SYN (synchronize)是TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間建立正常的TCP網絡連接時,客戶機首先發出一個SYN消息,服務器使用SYN-ACK應答表示接收到了這個消息,最后客戶機再以ACK消息響應。這樣在客戶機和服務器之間才能建立起可靠的TCP連接,數據才可以在客戶機和服務器之間傳遞。TCP連接的第一個包,非常小的一種數據包。SYN 攻擊包括大量此類的包,由于這些包看上去來自實際不存在的站點,因此無法有效進行處理。每個機器的欺騙包都要花幾秒鐘進行嘗試方可放棄提供正常響應。

性質 

 在黑客攻擊事件中,SYN攻擊是最常見又最容易被利用的一種攻擊手法。

 SYN攻擊屬于DoS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火墻等網絡系統,事實上SYN攻擊并不管目標是什么系統,只要這些系統打開TCP服務就可以實施。服務器接收到連接請求(syn= j),將此信息加入未連接隊列,并發送請求包給客戶(syn=k,ack=j+1),此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時,重發請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內偽造大量不存在的IP地址,向服務器不斷地發送syn包,服務器回復確認包,并等待客戶的確認,由于源地址是不存在的,服務器需要不斷的重發直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,目標系統運行緩慢,嚴重者引起網絡堵塞甚至系統癱瘓。

 SYN攻擊的防范

  關于SYN攻擊防范技術,人們研究得比較早。歸納起來,主要有兩大類,一類是通過防火墻、路由器等過濾網關防護,另一類是通過加固TCP/IP協議棧防范.但必須清楚的是,SYN攻擊100%能用防火墻完全阻止,不會設置防火墻者例外。

  SYN Flood利用TCP協議缺陷,發送了大量偽造的TCP連接請求,使得被攻擊方資源耗盡,無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手,首先客戶端發送一個包含SYN標志的數據包,其后服務器返回一個SYN/ACK的應答包,表示客戶端的請求被接受,最后客戶端再返回一個確認包ACK,這樣才完成TCP連接。在服務器端發送應答包后,如果客戶端不發出確認,服務器會等待到超時,期間這些半連接狀態都保存在一個空間有限的緩存隊列中;如果大量的SYN包發到服務器端后沒有應答,就會使服務器端的TCP資源迅速耗盡,導致正常的連接不能進入,甚至會導致服務器的系統崩潰。

  防火墻通常用于保護內部網絡不受外部網絡的非授權訪問,它位于客戶端和服務器之間,因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。針對SYN Flood,防火墻通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

  SYN網關 防火墻收到客戶端的SYN包時,直接轉發給服務器;防火墻收到服務器的SYN/ACK包后,一方面將SYN/ACK包轉發給客戶端,另一方面以客戶端的名義給服務器回送一個ACK包,完成TCP的三次握手,讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時,有數據則轉發給服務器,否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多,所以這種方法能有效地減輕對服務器的攻擊。

  被動式SYN網關 設置防火墻的SYN請求超時參數,讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包,服務器發往客戶端的SYN/ACK包、以及客戶端發往服務器的ACK包。這樣,如果客戶端在防火墻計時器到期時還沒發送ACK包,防火墻則往服務器發送RST包,以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限,因此這樣能有效防止SYN Flood攻擊。

  SYN中繼 防火墻在收到客戶端的SYN包后,并不向服務器轉發而是記錄該狀態信息然后主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火墻向服務器發送SYN包并完成三次握手。這樣由防火墻做為代理來實現客戶端和服務器端的連接,可以完全過濾不可用連接發往服務器。

  屏蔽方法:

  可以通過一些方法來屏蔽外來SYN包。

  1、Windows系統本身就帶有這種功能,通過本地連接屬性-internet協議(TCP/IP)屬性-高級-選項-TCP/IP篩選-屬性-啟用TCP/IP篩選,通過禁用端口來實現屏蔽SYN包,但系統這種功能并不能禁止本機向外發送SYN包,因此,在不提供任何服務的情況下,可以通過端口篩選來防止有關SYN方面的攻擊。

  2、通過第三方軟件來實現,例如,瑞星就可以通過端口限制來實現屏蔽SYN包。

 

網絡營銷詞典內容均由網友提供,僅供參考。

平特心水报图 河北时时玩法介绍 有没有网上彩票计划软件 北京赛pk10计划软件 11选5任5有多少注组合 彩名堂计划软件好用吗 三分赛车计划在线 购彩人工计划软件 时时彩走势图怎么观察 重庆时时开彩结果记录 pk10九码一千期不错