WEB开发网
开发学院网络安全安全技术 无法杜绝的TCP SYN攻击 我该拿你怎么办? 阅读

无法杜绝的TCP SYN攻击 我该拿你怎么办?

 2009-01-08 13:51:57 来源:WEB开发网   
核心提示: 2、防火墙代理接收到客户端的SYN连接请求时,就会把这个请求转发给内部的ERP服务器,无法杜绝的TCP SYN攻击 我该拿你怎么办?(3),此时,防火墙代理就充当了客户端的角色,把SYN攻击所造成的不利影响控制在一个比较小的范围之内;或者说,保护一些关键应用与设备,当防火墙代理取得用户想要

2、防火墙代理接收到客户端的SYN连接请求时,就会把这个请求转发给内部的ERP服务器。此时,防火墙代理就充当了客户端的角色。当防火墙代理取得用户想要的信息之后,就会把这个信息反馈给客户端。此时,防火墙代理充当了ERP服务器的角色。

可见有了防火墙代理,客户端与ERP服务器之间就不会直接进行通信。不过光凭如此设置,还是不能够有效避免SYN攻击。还需要进行另外的一些设置。

如笔者在企业中,是通过防火墙的TCP定时器参数来过滤伪造的TCP连接请求。如果防火墙代理遇到伪造的连接请求,则防火墙通常也利用参数来设置半开放连接中的主动超时时间;防火墙代理也会采用参数来设置特殊连接和TCP连接请求传入速率的指标。不过在更改这个参数的时候,需要注意,要根据企业网络的实际情况进行设置。如果调整的比较短的话,则如果客户采用的是慢速链路,则他们的连接就可能会超时。

如可以利用如下的命令来达到限制SYN攻击的目的。

Ip tcp intercept access-list-number

Ip tcp intercept mode watch

这两条命令主要起到如下作用:

一是记录最近一分钟内,有多少会话发生。通常情况下,它包括有效的会话与无效的会话。也就是说,如果是伪造请求产生的会话,也会在这个记录中体现出来。

二是有多少未完成的会话。通常情况下,这个未完成的会话就可能是伪造请求所产生的会话。当企业网络发生拥塞时,查看这个未完成的会话时,往往可以取得比较有用的信息。网络管理员可以凭借这个信息判断是否是由于SYN攻击所造成的网络拥塞,了解网络性能下降的原因。

三是最终的确认等待了多久。我们都知道,SYN攻击其主要的手段就是通过伪造地址,让服务器疲与去跟源地址进行确认。若源地址迟迟没有回应的话,则服务器或者网络设备会不断的重发确认信息,直到超过一个延迟的时间。所以,通过“最终的确认等待了多久”这个参数,也可以发现网络中是否存在着 SYN攻击。

二、调整TCP/IP协议,修改TCP协议实现

第一种限制SYN攻击的方式要依赖于思科等特定的产品,如防火墙、路由器等等。除此之外,我们还可以通过调整TCP/IP协议栈,修改TCP协议实现来达到防止SYN攻击。如可以通过增加最大半连接和缩短超时时间、SYN Cookies技术等来实现我们需要的目标。不过这个调整技术难度比较大。同时,调整TCP/Ip协议栈,会使得某些应用功能受到影响。所以,管理员在做类似的修改之前,要进行充分了解,并进行详细、充分的测试才能够进行部署。

如在微软的操作系统中,提供了一种SynAttackProtec的机制。这也是通过调整TCP/IP协议栈的方式来限制SYN的攻击。他主要是通过关闭某些Socket选项,同时增加额外的连接指示和减少超时时间,让系统恩能够处理更多的SYN连接,以达到防范SYN攻击的目的。在通常情况下,系统不会启用这个保护机制。需要网络管理员进行手工的配置。

不过笔者一般不建议采用这种方式。因为它会对现有的应用服务产生比较大的影响,会对现有的网络应用产生不利的影响,如降低网络、服务器的稳定性等等。所以笔者还是建议通过专门的网络设备,如路由器或者防火墙来防范SYN攻击。

不过要注意一点,就是无论采用上面的哪一种实现方式,要想彻底的杜绝SYN攻击是一件不可能完成的任务。除非完全更改TCP实现方式。不过到目前为止,这是不可能的。所以网络管理员应该对此有一个清醒的认识。任何想试图杜绝SYN攻击的尝试都将无功而返。我们现在所能够做的,就是想尽一切可行的方法,把SYN攻击所造成的不利影响控制在一个比较小的范围之内;或者说,保护一些关键应用与设备,减少SYN攻击对其造成的不利影响。

上一页  1 2 3 

Tags:无法 杜绝 TCP

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接