收稿日期：2014－01－08

基金項(xiàng)目：國家“242”信息安全計(jì)劃基金資助項(xiàng)目（2012D100）。

作者簡介：丁彭父樂(1990-)，女，湖南常德人，碩士研究生，主要研究方向: 網(wǎng)絡(luò)與信息安全;

張宏莉(1973-)，女，吉林榆樹人，博士，教授，博士生導(dǎo)師，主要研究方向: 網(wǎng)絡(luò)安全與社會(huì)計(jì)算、并行計(jì)算、網(wǎng)絡(luò)計(jì)算等。

摘要：隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，越來越多網(wǎng)絡(luò)安全問題日益突顯出來。研究表明DoS/DDoS攻擊是目前最為嚴(yán)重的網(wǎng)絡(luò)安全問題之一，SYN Flood攻擊又是DoS/DDoS攻擊中最為常見的攻擊。首先簡要介紹了SYN Flood攻擊的原理，然后通過研究近年來國內(nèi)外學(xué)術(shù)界對(duì)SYN Flood攻擊的研究成果，總結(jié)了針對(duì)SYN Flood攻擊的三類防御策略：基于退讓和負(fù)反饋的防御策略，基于TCP協(xié)議棧缺陷的防御策略和基于數(shù)據(jù)流的防御策略，并分別分析了各類型防御策略的主要防御方法。

關(guān)鍵詞：SYN Flood攻擊； 退讓和負(fù)反饋; 協(xié)議棧缺陷； 數(shù)據(jù)流統(tǒng)計(jì)； 網(wǎng)關(guān)偵聽

中圖分類號(hào)：TP39308文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2014）03-0028-04

A Brief Review of SYN Flood Attacks Defense Strategy

DING Pengfule，ZHANG Hongli

(School of Computer Science and Technology， Harbin Institute of Technology， Harbin 150001， China)

Abstract：With the rapid development of Internet technology， more and more network security issues are exposed increasingly. Studies have shown that DoS/DDoS attack is one of the most serious network security problems， and the most common one of DoS/DDoS attacks is SYN Flood attack. This paper first briefly introduces the principle of SYN Flood attack at first. And then after studying researches about SYN Flood at home and abroad in recent years， the paper finds that the common defense strategies are mainly about: defense strategy based on concession and negative feedback， defect of TCP protocol stack and the data traffic. Finally， the paper analyzes the main defense method of all types of defense strategies.

Key words：SYN Flood Attack; Concession and Negative Feedback; Defect of TCP Protocol Stack; Statistic of Data Traffic; Gateway Interception

0引言

網(wǎng)絡(luò)技術(shù)發(fā)展給人們帶來了各種便利，但與此同時(shí)也應(yīng)看到，各類新的安全問題也在不斷產(chǎn)生。目前的網(wǎng)絡(luò)攻擊種類日益繁多，而其中的拒絕服務(wù)（Denial-of-Service， DoS）攻擊在網(wǎng)絡(luò)攻擊中占有的比例即已約為40%［1］，也就是已經(jīng)接近網(wǎng)絡(luò)攻擊總量的一半；而且從攻擊造成的破壞嚴(yán)重程度來看，DoS也是一種雖然簡單，但卻非常有效的攻擊方式。

DoS攻擊主要是通過點(diǎn)對(duì)點(diǎn)的方式在短時(shí)間內(nèi)向服務(wù)器端發(fā)送大量的攻擊數(shù)據(jù)包，造成服務(wù)器端的資源將為大量攻擊數(shù)據(jù)包所占用而不再有額外的資源來響應(yīng)正常用戶的請(qǐng)求，從而達(dá)到拒絕服務(wù)攻擊的效果。隨著網(wǎng)絡(luò)帶寬的增大，DoS攻擊也得到了相應(yīng)“升級(jí)”，黑客們發(fā)明了分布式的DoS，簡稱為DDoS攻擊（Distribution Denial-of-Service Attract）。自1999年美國尼蘇達(dá)大學(xué)遭到DDoS攻擊以來，DDoS攻擊多次出現(xiàn)在全球各大知名網(wǎng)絡(luò)安全事件中，并且正以50%的速度在逐年增加［2］。所以，為了加強(qiáng)當(dāng)今網(wǎng)絡(luò)的安全性，就需要高度重視對(duì)DDoS攻擊的檢測(cè)防御研究［3］。然而，Kang等人［4］指出，DDoS攻擊中94%以上的攻擊都是基于TCP的，而SYN Flood攻擊又約占基于TCP攻擊的90%。因此，SYN Flood攻擊是研究DDoS攻擊時(shí)的主要研究對(duì)象，也是在加強(qiáng)網(wǎng)絡(luò)安全時(shí)，需要重點(diǎn)檢測(cè)和防御的攻擊之一。

本文簡要介紹了SYN Flood攻擊的基本原理，通過分析2000年以來國內(nèi)外學(xué)術(shù)界對(duì)SYN Flood攻擊的研究情況，提出三類防御SYN Flood攻擊的策略，并分析了各類型防御策略的主要防御方法。

1SYN Flood攻擊原理

SYN Flood攻擊利用了TCP協(xié)議三次握手機(jī)制的缺陷［5］。TCP協(xié)議是一個(gè)面向連接的傳輸協(xié)議［6］，其在傳輸數(shù)據(jù)之前必須進(jìn)行三次握手來相互確認(rèn)信息，以此建立一條連接，從而確保通信過程中數(shù)據(jù)的完整性和一致性。TCP三次握手的過程如圖1所示。

由圖1可見，首先，客戶向服務(wù)器發(fā)送建立連接請(qǐng)求，即發(fā)送標(biāo)志位SYN段為1的TCP報(bào)文；服務(wù)器在收到連接請(qǐng)求后回復(fù)一個(gè)ACK+SYN。其中，ACK是對(duì)客戶端發(fā)送的SYN包的確認(rèn)，SYN則是請(qǐng)求與客戶端建立連接，即服務(wù)器回復(fù)報(bào)文的ACK段和SYN段均置1；最后，客戶收到服務(wù)器回復(fù)的ACK+SYN報(bào)文后，再給服務(wù)器回復(fù)一個(gè)ACK確認(rèn)報(bào)文后，即進(jìn)入ESTABLISHED狀態(tài)，而當(dāng)服務(wù)器收到最后的ACK后也將進(jìn)入ESTABLISHED狀態(tài)。至此，三次握手完成。

但是，如果在服務(wù)器回復(fù)ACK+SYN后，客戶由于某種原因而不做第三次握手，即服務(wù)器一直沒有接收到客戶的ACK確認(rèn)報(bào)文，那么TCP協(xié)議的超時(shí)和重傳機(jī)制就會(huì)使得服務(wù)器保持一段時(shí)間的半連接狀態(tài)(一般為75s［7］)，由此將導(dǎo)致服務(wù)器的內(nèi)存資源的浪費(fèi)。

圖1TCP三次握手過程示意圖

Fig.1TCP three-way handshake process第3期丁彭父樂，等：SYN Flood攻擊防御策略綜述智能計(jì)算機(jī)與應(yīng)用第4卷

SYN Flood攻擊就是攻擊者向攻擊目標(biāo)發(fā)送大量偽造的TCP連接請(qǐng)求報(bào)文，即SYN包；而當(dāng)攻擊目標(biāo)收到連接請(qǐng)求時(shí)，就會(huì)在目標(biāo)的TCP協(xié)議棧分配資源，并記錄其信息到半連接隊(duì)列中，同時(shí)回應(yīng)ACK+SYN；此時(shí)，攻擊者卻不再發(fā)送ACK確認(rèn)報(bào)文以完成第三次握手，而是將繼續(xù)發(fā)送大量的SYN連接請(qǐng)求包。這樣不僅會(huì)導(dǎo)致被攻擊者在短時(shí)間內(nèi)需要為大量半連接分配內(nèi)存資源，還會(huì)使得系統(tǒng)對(duì)后續(xù)到來的SYN包在自身的半連接隊(duì)列中查找是否有此包的握手信息，從而消耗大量CPU資源，最終造成被攻擊者無法向正常用戶提供所需服務(wù)。SYN Flood攻擊的原理如圖2所示。

圖2SYN Flood攻擊原理圖

Fig.2Schematic of SYN Flood attack

2SYN Flood攻擊的防御策略

自2000年以來，DDoS攻擊一直是國內(nèi)外學(xué)術(shù)界在網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)，而且也涌現(xiàn)了關(guān)于SYN Flood攻擊檢測(cè)和防御方法的大量文章和研究成果。雖然每種檢測(cè)方法都對(duì)應(yīng)著一種最佳防御方法，但是檢測(cè)和防御是兩個(gè)不同的領(lǐng)域，可以分別對(duì)其展開研究。通過研究可知防御策略大致可以分為：基于退讓和負(fù)反饋的策略［8］，基于TCP協(xié)議棧缺陷的策略和基于數(shù)據(jù)流的策略。

2.1基于退讓和負(fù)反饋的防御策略

退讓策略就是對(duì)現(xiàn)有的攻擊進(jìn)行盡可能大的容忍，被攻擊者可通過提高自身的抗壓能力（如更好的硬件資源、更大的網(wǎng)絡(luò)帶寬），或者犧牲一部分服務(wù)器的資源以及修改服務(wù)器配置等來對(duì)SYN Flood攻擊進(jìn)行防御。

退讓策略的常用方法主要有：

(1)縮短半連接隊(duì)列的保持時(shí)間。對(duì)于半連接狀態(tài)下超時(shí)重傳的參數(shù)（超時(shí)時(shí)間，重傳次數(shù)）進(jìn)行縮減，以達(dá)到提早斷開沒有響應(yīng)的連接，并盡快回收服務(wù)器資源的效果；

(2)增大半連接隊(duì)列的大小。適當(dāng)增加半連接隊(duì)列的大小，在系統(tǒng)資源一定的情況下，盡可能提高服務(wù)器處理連接的數(shù)量；

(3)負(fù)載均衡策略。通過負(fù)載均衡技術(shù)將高速SYN Flood攻擊流引到服務(wù)器集群的某一臺(tái)服務(wù)器上，通過犧牲某一臺(tái)服務(wù)器而實(shí)現(xiàn)對(duì)其它服務(wù)器的保護(hù)；

(4)退讓策略［9］。被攻擊者通過升級(jí)硬件配置或者加大網(wǎng)絡(luò)帶寬來抵御攻擊。只是這種方法非但沒有從根本上解決問題，而且還是一種性價(jià)比極低的策略，并且一旦攻擊力度有所加大，全部的升級(jí)將完全失效。

由上述分析可知，基于退讓和負(fù)反饋的防御策略在防御攻擊流量較小的SYN Flood攻擊時(shí)效果非常明顯，一旦攻擊者增大攻擊流量，其防御效果就會(huì)明顯降低甚至完全失效。雖然如此，該方法卻因其實(shí)現(xiàn)簡單已經(jīng)實(shí)際用于現(xiàn)有系統(tǒng)或防火墻中，以期實(shí)現(xiàn)系統(tǒng)本身的基礎(chǔ)防御功能。

2.2基于TCP協(xié)議棧缺陷的防御策略

SYN Flood攻擊是利用TCP協(xié)議棧的缺陷而發(fā)起的，所以最初關(guān)于防御DDoS攻擊的研究都是基于TCP協(xié)議棧缺陷的?，F(xiàn)今，防御SYN Flood攻擊較為成熟而且已經(jīng)用于實(shí)際的方法主要的就是基于TCP協(xié)議棧缺陷的技術(shù)，也就是：SYN Cookie［10］、SYN Cache［11］、SYN Proxy［12］以及SYNDefender［13］。

2.2.1SYN Cookie技術(shù)

2000年，國外學(xué)者Bernstein提出了SYN Cookie方法，并且在FreeBSD系統(tǒng)下實(shí)現(xiàn)了該機(jī)制。Cookie機(jī)制是服務(wù)器收到客戶端的連接請(qǐng)求后，并不會(huì)為其分配資源，而是根據(jù)這個(gè)SYN包的相關(guān)信息計(jì)算生成某一Cookie值，并將其作為ACK+SYN包的序列號(hào)返回給客戶端。當(dāng)服務(wù)器收到客戶端的ACK包后，就會(huì)比較該包的Cookie值和上個(gè)SYN包的Cookie值，由此而判斷該包是否為第三次握手。經(jīng)判斷如果本次請(qǐng)求是完整的，服務(wù)器才會(huì)給本次會(huì)話分配內(nèi)存。也就是說，SYN Cookie技術(shù)通過減少半連接時(shí)系統(tǒng)的資源消耗來抵御SYN Flood攻擊。但是，為了得到Cookie值，服務(wù)器將會(huì)進(jìn)行頗多額外的計(jì)算，所以當(dāng)攻擊者發(fā)起針對(duì)SYN Cookie的ACK Flood攻擊時(shí)，Cookie值的計(jì)算也會(huì)占用系統(tǒng)的大量內(nèi)存和CPU資源。

雖然SYN Cookie技術(shù)在很大程度上能夠有效抵御SYN Flood攻擊，但同時(shí)卻也可能導(dǎo)致另外一種DoS攻擊，即ACK Flood攻擊。而這種攻擊則是由于系統(tǒng)在Cookie驗(yàn)證前無法區(qū)分ACK報(bào)文是否為經(jīng)過第一次握手后發(fā)過來的所形成，對(duì)此文獻(xiàn)［14］提出了一種改進(jìn)方法，就是：在第一次握手后系統(tǒng)可簡單記錄該連接信息，形式即如源IP、源端口、時(shí)間戳的三元組。而在接到ACK報(bào)文時(shí)，就可以第一時(shí)間驗(yàn)證報(bào)文的三元組信息，如果信息滿足條件則進(jìn)行Cookie驗(yàn)證，否則直接丟棄。

2.2.2SYN Cache技術(shù)

2002年，Lemon提出了SYN Cache的方法。與SYN Cookie不同的是，SYN Cache方法會(huì)保存SYN包里的所有字段。該方法通過一個(gè)專用的HASH表（Cache）來保存半連接信息，直至收到ACK信息才為連接分配系統(tǒng)資源（TCB）。在Lemon的FreeBSD中，對(duì)于一個(gè)存儲(chǔ)半連接信息的Cache條目只需要160個(gè)字節(jié)，遠(yuǎn)小于TCB的736個(gè)字節(jié)。雖然SYN Cache方法能夠提高SYN Flood攻擊的難度，但是由于受到系統(tǒng)總資源的限制，該方法對(duì)SYN Flood攻擊也僅能起到一定的緩解作用。

2.2.3SYN Proxy技術(shù)

由于SYN Cookie和SYN Cache技術(shù)都是基于主機(jī)的保護(hù)方法，需要系統(tǒng)本身的協(xié)議棧支持，而并非所有的系統(tǒng)都支持。所以很多防火墻都提供了一種SYN代理功能。該技術(shù)的主要思想是，只有在SYN代理確認(rèn)連接的有效性后，才向內(nèi)部服務(wù)器發(fā)起連接請(qǐng)求。所以當(dāng)攻擊發(fā)生時(shí)，攻擊造成的危害就將轉(zhuǎn)移到至該代理上，借此以保護(hù)服務(wù)器端。而這個(gè)代理確認(rèn)連接有效性的方法可以是基于SYN Cookie和SYN Cache的，這也是對(duì)SYN Cookie的另一種改進(jìn)。只是需要注意，一旦代理被攻擊破壞，其保護(hù)的服務(wù)器也都將無法向外界提供服務(wù)，這也成為SYN Proxy方法的瓶頸所在。

2.3基于數(shù)據(jù)流的防御策略

該策略主要是利用統(tǒng)計(jì)學(xué)的方法，對(duì)收到的數(shù)據(jù)流進(jìn)行統(tǒng)計(jì)，通過特征分析、數(shù)學(xué)建模，或者僅僅是IP地址的備案，規(guī)劃給出相應(yīng)的防御方法。

2.3.1網(wǎng)關(guān)偵聽

本策略中，對(duì)數(shù)據(jù)流的IP地址進(jìn)行備案，并查詢IP的合法性來判定是否丟棄該數(shù)據(jù)包的防御方法又可稱作基于網(wǎng)關(guān)偵聽的防御方法。最為常見的主要有［8］：網(wǎng)絡(luò)追查、Push-back（回壓法）、SYN Kill和Ingress Filter。

該策略主要針對(duì)偽造IP地址的攻擊進(jìn)行防御，但是隨著系統(tǒng)運(yùn)行時(shí)間的增長，用于查詢?nèi)∽C的IP地址庫會(huì)變得豐富和龐大，而這將會(huì)影響檢索和系統(tǒng)運(yùn)行效率。

2.3.2數(shù)據(jù)流統(tǒng)計(jì)

這種基于統(tǒng)計(jì)學(xué)的防御策略大多是與檢測(cè)方法相結(jié)合的。其中，變點(diǎn)檢測(cè)法和CUSUM算法（或非參數(shù)CUSUM算法）則廣泛應(yīng)用于各種基于統(tǒng)計(jì)的檢測(cè)算法［15-19］。

2004年Chao等人［20］提出了運(yùn)用貝葉斯等統(tǒng)計(jì)學(xué)理論來“清洗”DDoS數(shù)據(jù)流，并在2006年提出了Packetscore算法［21］。此后，李凱［22］將該算法運(yùn)用于對(duì)SYN Flood攻擊的防御。

2004年，何慧等人［23］針對(duì)大規(guī)模流量網(wǎng)絡(luò)提出了基于網(wǎng)絡(luò)流量分布相似度的DDoS攻擊檢測(cè)方法，2007年蔣凌云等人［24］又給出了基于相似度的針對(duì)SYN Flood攻擊的防御方法。但是卻由于引進(jìn)了自相似模型，導(dǎo)致該方法的工程實(shí)現(xiàn)難度加大，因此還需要大量的簡化和改進(jìn)才能在實(shí)際中真正得到運(yùn)用。

此外，Siris等人［19］首次提出了一種基于自適應(yīng)閾值狀態(tài)的模型來檢測(cè)SYN Flood攻擊，該方法根據(jù)當(dāng)前流量的特征動(dòng)態(tài)改變異常判定閾值，從而達(dá)到流量異常檢測(cè)和防御攻擊的目的。2009年，劉群華等人［25］則根據(jù)該檢測(cè)方法給出了一種基于自適應(yīng)閾值狀態(tài)的SYN Flood攻擊防御模型。實(shí)驗(yàn)表明該方法非常適合于大流量網(wǎng)絡(luò)環(huán)境下SYN Flood攻擊的檢測(cè)和防御，而對(duì)于低強(qiáng)度的攻擊則會(huì)出現(xiàn)較高的誤報(bào)率。

3結(jié)束語

對(duì)SYN Flood攻擊，盡管已經(jīng)提出很多的辦法和理論，但是一些研究成果或產(chǎn)品由于沒有得到廣泛應(yīng)用而難以判斷其真實(shí)效果，現(xiàn)在工業(yè)界的大部分產(chǎn)品都只是盡量緩解攻擊，而并未使問題獲得根本解決。而且隨著IPv6網(wǎng)絡(luò)的出現(xiàn)，SYN Flood攻擊又將帶來許多新的問題，因此，關(guān)于DDoS攻擊的研究仍然是網(wǎng)絡(luò)安全領(lǐng)域當(dāng)前、以至未來的研究重點(diǎn)。

參考文獻(xiàn)：

［1］李明柱，時(shí)憶杰. 黑客攻擊與安全防范［M］. 北京：北京航空航天大學(xué)出版社，2002-07.

［2］CERT Advisory CA-20000-01. Denial-of-service developments［EB/OL］. http:// www.cert.org/ advisory/ CA-2000-01.html.2000.

［3］GARBER L. Denial-of-service attacks rip the Internet［J］. IEEE Computer， 2000， 33(4): 12-17.

［4］KANG J， ZHANG Z， JU J. Protect e-commerce against DDoS attacks with improved D-WARD detection system［C］//e-Technology， e-Commerce and e-Service， 2005. EEE'05. Proceedings. The 2005 IEEE International Conference on. IEEE， 2005: 100-105.

［5］QIU Xiaofeng， HAO Jihong， CHEN Ming .A mechanism to defend SYN flooding attack based on network measurement system［C］//ITRE 2004 - 2nd International Conference on Information Technology: Research and Education，2004.

［6］Andrew S， Tanenbaum . 計(jì)算機(jī)網(wǎng)絡(luò)(第4版)［M］. 北京: 清華大學(xué)出版社， 2006.

［7］W. Richard Steven. TCP/IP詳解， 卷1: 協(xié)議［M］. 北京:機(jī)械工業(yè)出版社， 2000.

［8］唐銳. 抵御SYN Flood 的防護(hù)系統(tǒng)的研究與設(shè)計(jì)［M］. 長沙：中南大學(xué)， 2012: 2-4.

［9］孫長華，劉斌. 分布式拒絕服務(wù)攻擊研究新進(jìn)展綜述［J］.電子學(xué)報(bào).2009，37(7):1562-1570.

［10］D J Bernstein. SYN Cookies ［EB/OL］. (2000) ［2013-06-06］. http://cr.yp.to/syncookies.html.

［11］LEMON J. Resisting SYN Flooding DoS Attacks with a SYN Cache［C］//Proceedings of USENIX BSDCon’2002， February， 2002.

［12］Netscreen 100 Firewall Appliance， http://www.netscreen.com/.

［13］Check point software technologies ltd. syndefender: http://www.checkpoint.com/products/firewall-1.

［14］徐賽. 雙棧網(wǎng)絡(luò)防火墻中SYN Flood攻擊的檢測(cè)與防御［D］. 哈爾濱：哈爾濱工業(yè)大學(xué)， 2013.

［15］WANG H， ZHANG D，SHIN K G. Detecting SYN flooding attacks［C］//Proceedings of Annual Joint Conference of the IEEE Computer and Communications Societies(INFOCOM)， 2002，3:1530-1539.

［16］Takada H H， Hofmann U. Application and analysis of cumulative Sum to detect highly distributed denial of service attacks using different attack traffic patterns ［EB/OL］. (2004-04-10) ［2013-06-06］. http://www.istintermon.org.

［17］BLAZEK R B， KIM H， ROZOVSKII B， et al. A novel approach to detection of denial-of-service attacks via adaptive sequential and batch-sequential change-point detection methods［C］//Proceedings of IEEE Systems， Man and Cybernetics Information Assurance workshop， 2001: 220-226.

［18］CHEN W， YEUNG D Y. Defending against TCP SYN flooding attacks under different types of IP spoofing［C］//Networking， International Conference on Systems and International Conference on Mobile Communications and Learning Technologies， 2006. ICN/ICONS/MCL 2006. International Conference on. IEEE， 2006: 38-38.

［19］SIRIS V A， PPAPAGALOU F. Application of anomaly detection algorithms for detecting SYN flooding attacks［C］//Global Telecommunications Conference， 2004. GLOBECOM'04. IEEE. IEEE， 2004， 4: 2050-2054.

［20］CHUAH M C， LAN W C， CHAO G. Transient performance of packetscore for blocking DDoS attack［J］.IEEE Communications Soeiety，2004，4:1892-1896.

［21］KIM Y， LAN W C， CHAO G. Packetseore: statistics-based vverioad control against distribute denial-of-Service attacks［J］. IEEE INFOCOM，2004，4:2594-2604.

［22］李凱. 基于統(tǒng)計(jì)特征的SYN Flood攻擊防御方法研究［D］. 成都：西南交通大學(xué)， 2009.

［23］何慧，張宏莉，張偉哲，等．一種基于相似度的DDoS攻擊檢測(cè)方法［J］．通信學(xué)報(bào)，2004，25(7): 176-184.

［24］蔣凌云，王汝傳.基于流量自相似模型的SYN-Food DDoS攻擊防范［J］.南京郵電大學(xué)學(xué)報(bào)，2002，7:90-94.

［25］劉群華， 馬進(jìn)， 夏正敏. 一種防御SYN Flood的自適應(yīng)閥值狀態(tài)模型［J］. 信息安全與通信保密，2010， 11(4): 84-86.