剖析“拒绝服务”攻击

核心提示： 要明白SYN攻击的原理，要从连接建立的过程开始说起，剖析“拒绝服务”攻击(2)，从我们输入一个网址到我们能看到这个网页，机器在非常短的时间内为我们做了三件重要的事情： 1.机器发送一个带有“ SYN”（同步）标志的数据包给服务器，例如流行的Lion SYN Floo

要明白SYN攻击的原理，要从连接建立的过程开始说起。从我们输入一个网址到我们能看到这个网页，机器在非常短的时间内为我们做了三件重要的事情：

1.机器发送一个带有“ SYN”（同步）标志的数据包给服务器，请求连接；

2.服务器返回一个带有SYN标志和ACK（确认）标志数据包给机器；

3.机器也返回一个ACK确认标志数据包给服务器，数据传输建立。

这三步就叫做“三次握手”。

那么所谓的SYN攻击是什么呢？让我们再看第二步，服务器返回数据后，并不会跑开，而是等待对方再次返回确认，问题就出在这里。如果一台计算机发送SYN数据包后由于意外断开了网络，服务器返回的ACK就得不到回应，而规范标准规定它必须“不见不散”，所以服务器就痴痴的等到夕阳下山，这期间内它拒绝其他机器的连接请求。于是在其它机器看来，它们开不了某个服务器的页面了。幸好在服务器的时间里，“夕阳下山”不过一瞬间，所以偶尔意外的一两台机器不回答它也很少影响大局。可是对于恶意攻击者来说，这不是问题——他们使用一些特殊工具大量产生这种导致服务器等待的虚假IP地址的SYN数据包，由于这个IP地址根本没有机器存在，自然不会有任何回应，所以服务器只有傻乎乎的为这些数据包做了个列表，然后一个一个等下去！这些等待花去的时间累加起来就变成了影响正常数据传输的原因，因为攻击者不停发送SYN数据包，服务器就无限的等下去，其他数据包就进不去服务器了，于是，一切都完了。这是最常见最滥用的拒绝服务模式，现成的攻击工具也很多，例如流行的Lion SYN Flood、xdos、独裁者等，这些工具几乎不需要什么高深知识就能用，因此SYN成为服务器和网络管理员最恨最怕的攻击。