譚小華

摘要：就目前互聯(lián)網(wǎng)上的各種攻擊來(lái)看，針對(duì)Web的DDos攻擊是最難以讓人防范的，因?yàn)樗嬖诤茈y區(qū)分惡意攻擊者和正常用戶之間的問(wèn)題，所以很多管理員不是將攻擊者和用戶一起屏蔽了，就是完全對(duì)這樣的攻擊毫無(wú)辦法。

關(guān)鍵詞：SYN攻擊技術(shù)、SYN Flood、SYN防火墻針對(duì)Web服務(wù)方面的攻防技術(shù)，可大致分為2個(gè)部分，分別是針對(duì)Web端口的DDos攻防、針對(duì)Web腳本的DDos攻防。

SYN FLOOD是利用TCP協(xié)議本身的缺陷發(fā)起的攻擊，所以要從根源上防御這樣的攻擊，需要對(duì)協(xié)議進(jìn)行修改或者拋棄這個(gè)協(xié)議，所以這些是基本上不可能出現(xiàn)的情況。如何從實(shí)用的角度來(lái)防范這樣的攻擊呢？

近幾年普遍使用的防SYN攻擊技術(shù)大概包含SYN cookie防御、SYN proxy防御、SYN包判斷防御、SYN首包丟棄防御、地址狀態(tài)監(jiān)控防御等。以下分別對(duì)幾種防御技術(shù)進(jìn)行分析：

一、 SYN cookie防御思路

在正常情況下服務(wù)器接收的 TCP SYN 數(shù)據(jù)包，當(dāng)您更改立即連接請(qǐng)求分配一個(gè)緩沖區(qū)，并返回一個(gè) SYN + ACK，這是形成一個(gè)半連接。SYN 洪水使用此 SYN 連接請(qǐng)求，發(fā)送大量的欺騙的來(lái)源地址，若要?jiǎng)?chuàng)建，而連接只需耗盡服務(wù)器上的資源。

對(duì)于標(biāo)準(zhǔn) TCP 連接 SYN cookie 技術(shù)建立在資源配置中的缺陷的過(guò)程中，資源分配策略時(shí)后收到消息，服務(wù)器不會(huì)立即分配一個(gè)緩沖區(qū)中， 發(fā)生更改，但使用的連接信息來(lái)生成一個(gè) cookie，cookie 作為消息要返回的 SYN + ACK 初始序列號(hào)。當(dāng)客戶端，基于標(biāo)頭信息的 cookie，并返回確認(rèn)序列號(hào)返回 ACK 消息時(shí) （的初始序列號(hào) + 1） 比較第 24 位，如果是一樣的它是一個(gè)正常連接和分配資源，以建立連接。Cookie 的計(jì)算是實(shí)施這一技術(shù)的關(guān)鍵，cookie 的計(jì)算必須包含此連接的狀態(tài)信息，這樣，攻擊者不能偽造 cookie。

二、 SYN proxy防御思路

SYN 代理防御方法，一般來(lái)說(shuō)，不使用服務(wù)器本身，但在服務(wù)器前端的防火墻中使用。后在防火墻上收到的 SYN 數(shù)據(jù)包，他們響應(yīng) SYN ACK 數(shù)據(jù)包回給發(fā)起人，在其自己的內(nèi)部連接，啟動(dòng)器返回 ACK 數(shù)據(jù)包之后， 新結(jié)構(gòu) SYN 數(shù)據(jù)包到服務(wù)器，建立一個(gè)真正的 TCP 連接。

SYN ACK 發(fā)送到啟動(dòng)器的向防火墻 SYN ACK 數(shù)據(jù)包，此進(jìn)程防火墻 SYN 和 ACK 數(shù)據(jù)包由服務(wù)器啟動(dòng)器序列編號(hào)序列編號(hào) SYN ACK 數(shù)據(jù)包，因?yàn)橄嗤男蛄刑?hào)或確認(rèn)號(hào)碼，隨后包發(fā)送的數(shù)據(jù)包防火墻響應(yīng)您應(yīng)該知道的要調(diào)整修改提交到服務(wù)器的通信。

SYN proxy的方法可以保證到達(dá)服務(wù)器的連接都是合法的連接，有攻擊時(shí)服務(wù)器并不會(huì)受到?jīng)_擊，都是由防火墻來(lái)承受，但是本質(zhì)上也不能真正防御SYN Flood，因?yàn)橐坏┯谐^(guò)防火墻負(fù)載能力的DDos攻擊出現(xiàn)，首先被拒絕服務(wù)的就是防火墻本身。

三、 SYN包異常判斷防御技術(shù)思路

對(duì)于構(gòu)造出來(lái)的SYN攻擊，源地址、源端口等值都可能是隨機(jī)的，不能判斷是否真是攻擊包，但攻擊程序一般并不是真正完善，還是可以通過(guò)一定特點(diǎn)檢測(cè)出來(lái)：

1） 判斷SYN是否帶TCP選項(xiàng)：一般的TCP SYN包中都要帶選項(xiàng)，SYN 數(shù)據(jù)包的選項(xiàng)是法律理論中，是最有可能不具有偽假。

2）確定 TCP 窗口中的值 ；此值提供了當(dāng)前機(jī)器接收數(shù)據(jù)作為發(fā)起連接的緩沖區(qū)大小是太小了，是不足夠的較小的值通常大多偽造。

3） 確定的 IP TTL 值： 固定的服務(wù)器角色，TTL 值，可以檢測(cè)到提前到另一個(gè)地址，如果它找到的 TTL 值和理論值的差異是太大，大多是偽造。

4）判斷IP ID：TCP window，TCP序列號(hào)等值在不同SYN包中相同的可能性很小，如果連續(xù)的SYN包這些值都相同，基本上都是偽造包。

首包丟棄法是一種利用用戶行為進(jìn)行抵御SYN攻擊的方式。

真正的 TCP 連接，如果沒有響應(yīng)到第一個(gè)包，用戶可以發(fā)送 SYN 數(shù)據(jù)包的嘗試再次連接，沒有重復(fù)攻擊的大多數(shù)程序，防火墻 SYN 數(shù)據(jù)包被丟棄，第一次就可，只是在后來(lái)接受。但如果要學(xué)習(xí)重復(fù)合同程序的攻擊，防御是無(wú)效的。

四、 地址狀態(tài)監(jiān)控防御技術(shù)思路

最后，地址狀態(tài)監(jiān)控是比較完善的解決SYN攻擊的方案。

地址監(jiān)控解決方案是使用工具監(jiān)測(cè)治療中的 TCP 連接的數(shù)據(jù)包和專員的監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的聆訊，基于源地址的連接請(qǐng)求。

每個(gè)源狀態(tài)，匹配，有狀態(tài)的 4 種類型： ① 早期狀態(tài)： 任何源地址剛開始狀態(tài) ；② 新的條件： 第一次您接收或也可以不是反復(fù)出現(xiàn)的結(jié)論是有源地址的狀態(tài) ；③ 好狀態(tài)： 得出結(jié)論存在的國(guó)務(wù)院 ； 源地址④ 貧窮國(guó)家： 源地址不存在或不是國(guó)務(wù)院在石上。具體的行動(dòng)和根據(jù)狀態(tài)代碼值位 TCP 報(bào)頭中的過(guò)渡效果。

五、 使用SYN防火墻防御

上面的分析都是從技術(shù)層面上發(fā)起的，太理論化，而實(shí)際的工作過(guò)程中，有很多的防火墻可以幫助管理者防御SYN FLOOD。常見的硬件防火墻類產(chǎn)品大致包含3種類型。

SYN SYN 數(shù)據(jù)包網(wǎng)關(guān)防火墻： 防火墻客戶端將直接轉(zhuǎn)到服務(wù)器 SYN/SYN ACK ACK，一方面，數(shù)據(jù)包轉(zhuǎn)發(fā)和防火墻服務(wù)器客戶端軟件包，另一方面，回發(fā)到服務(wù)器以完成未收到三向握手，TCP ACK 數(shù)據(jù)包，客戶端將連接到的服務(wù)器端的連接狀態(tài)。當(dāng)客戶端真正 ACK 數(shù)據(jù)包到達(dá)，數(shù)據(jù)傳遞到服務(wù)器，否則該數(shù)據(jù)包將被丟棄。因?yàn)榉?wù)器連接狀態(tài)可以有效地一半 2 周可以承受比許多可以降低服務(wù)器攻擊多得多。

被動(dòng)防火墻設(shè)置防火墻 SYN SYN 超時(shí)請(qǐng)求網(wǎng)關(guān)，使它比服務(wù)器超時(shí)要小得多。防火墻客戶端發(fā)送到服務(wù)器 SYN 數(shù)據(jù)包轉(zhuǎn)發(fā)，SYN/ACK 包服務(wù)器發(fā)送到客戶端，與客戶端發(fā)送到服務(wù)器的 SYN 數(shù)據(jù)包。這種方式，在防火墻中計(jì)時(shí)器過(guò)期如果客戶端不發(fā)送 ACK 數(shù)據(jù)包，一半的防火墻服務(wù)器連接從隊(duì)列中刪除，并向服務(wù)器發(fā)送一個(gè) RST 數(shù)據(jù)包。防火墻超時(shí)參數(shù)小于服務(wù)器的超時(shí)期限，，因?yàn)橛行Х雷o(hù) SYN 攻擊。

SYN 中繼防火墻： 防火墻，接收客戶端的不傳輸 SYN 數(shù)據(jù)包狀態(tài)信息但板服務(wù)器和客戶端然后回顯 SYN/ACK 數(shù)據(jù)包之后，您向客戶表明這是正常訪問(wèn)獲取確認(rèn)包、 向服務(wù)器發(fā)送 SYN 數(shù)據(jù)包從防火墻和完成 3 次握手。防火墻行為作為代理服務(wù)器、 客戶端和服務(wù)器端的連接可以實(shí)現(xiàn)完全過(guò)濾掉未連接到服務(wù)器。（作者單位：重慶工貿(mào)職業(yè)技術(shù)學(xué)院）

參考文獻(xiàn)：

[1]《黑客Web腳本攻擊與防御技術(shù)核心剖析》郝永清編著科學(xué)出版社

[2]網(wǎng)絡(luò)的攻擊與防范牛少彰江為強(qiáng)編著北京郵電大學(xué)出版社