无法杜绝的TCP SYN攻击 我该拿你怎么办?
2009-01-08 13:51:57 来源:WEB开发网网络管理员应该有一个清醒的认识,任何想试图杜绝SYN攻击的尝试都将无功而返,我们现在所能够做的,就是想尽一切可行的方法,把SYN攻击所造成的不利影响控制在一个比较小的范围之内;或者说,保护一些关键应用与设备,减少SYN攻击对其造成的不利影响。
TCP是网络连接过程中主机发送的第一个包,其非常小,但是又非常的关键。SYN攻击就是大量利用这些包。由于这些包往往无法有效进行处理,但是主机或者网络设备无法有效辨别。他们往往需要对每个这种类型的包花费几秒钟时间进行尝试,然后才会放弃提供正常响应。一个包几秒钟时间,但是,若包多的话,就会企业网络带来毁灭性的打击。
从本质上来说,SYN攻击是DOS攻击的一种,他主要利用TCP协议缺陷,通过发送大量的半连接请求(TCP数据包),耗费主机或者网络设备的 CPU与内存资源。SYN攻击其范围比较广,不仅可以对普通的主机、服务器产生不利影响,而且也会影响到网络中间设备,如路由器、交换机等等。通常情况下,只要网络设备或者主机采用了TCP协议,就可能成为SYN攻击的受害者。
IP欺骗与SYN攻击是一对好搭档。配合IP欺骗,SYN攻击往往可以取得很好的效果。如某个攻击者可以在利用工具在几秒钟时间内,伪造大量的不存在的IP地质,向某个目标对象不断发送数据包,服务器回复确认包,并等待客户的确认。,由于源地址是虚假的,不存在的地址,服务器就会不断的重法确认直到超时为止。这些伪造的包将长时间占用未连接队列,正常的连接请求反而无法响应,被丢弃。从而可能就会导致网络拥塞。
既然SYN攻击这么严重,那么能否有效杜绝SYN攻击呢?可惜的是,到现在为止,还没有哪个专家说,可以彻底的杜绝SYN攻击。因为这是TCP 协议的先天性缺陷,难以治疗。我们网络管理员现在可以做的就是如何想方设法,限制其的不利影响。如笔者现在最常用的措施,就是通过各种手段,让其不影响企业的关键设备,如服务器、路由器等等。
更多精彩
赞助商链接