WEB开发网
开发学院网络安全黑客技术 SYN攻击原理以及防范技术 阅读

SYN攻击原理以及防范技术

 2006-11-05 20:34:03 来源:WEB开发网   
核心提示: 四、检测SYN攻击检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,SYN攻击原理以及防范技术(3),特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,我们使用系统自带的netstat 工具来检测S

四、检测SYN攻击

检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:

# netstat -n -p TCP

tcp 0  0 10.11.11.11:23  124.173.152.8:25882  SYN_RECV -

tcp 0  0 10.11.11.11:23  236.15.133.204:2577  SYN_RECV -

tcp 0  0 10.11.11.11:23  127.160.6.129:51748  SYN_RECV -

tcp 0  0 10.11.11.11:23  222.220.13.25:47393  SYN_RECV -

tcp 0  0 10.11.11.11:23  212.200.204.182:60427 SYN_RECV -

tcp 0  0 10.11.11.11:23  232.115.18.38:278   SYN_RECV -

tcp 0  0 10.11.11.11:23  239.116.95.96:5122  SYN_RECV -

tcp 0  0 10.11.11.11:23  236.219.139.207:49162 SYN_RECV -

...

上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。

我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:

#netstat -n -p TCP | grep SYN_RECV | grep :22 | wc -l

324

显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。

五、SYN攻击防范技术

关于SYN攻击防范技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协议重新设计。

上一页  1 2 3 4 5 6 7 8  下一页

Tags:SYN 攻击 原理

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接