数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、攻击原理
攻击者通过伪造一个源地址的SYN报文,发送给受害主机,受害主机回复SYN-ACK报文给这些地址后,不会再收到后续的ACK报文,导致受害主机保持了大量的半连接,直到超时。这些半连接可以耗尽主机资源,使受害主机无法建立正常TCP连接,从而达到攻击的目的。数字化转型网www.szhzxw.cn
二、防御原理
常用手段是源认证,从SYN报文建立连接的“行为”入手,判断是不是真实源发出的请求。根据判断方式的不同又会细分为SYN-RST防御手段和SYN-Cookie防御手段。对于SYN-RST防御手段可简化为以下模型:
1)防御侧收到SYN报文后,提取相关字段计算HASH后响应一个带有错误确认号(Acknowledgment number)的SYN-ACK报文;
2)如果SYN报文源IP是虚假源,则不会收到步骤1)的SYN-ACK报文,也就不会做出任何响应;
3)如果SYN报文源IP是真实源,则会发送RST报文(Sequence number=步骤1)的Acknowledgment number)以中断该连接;数字化转型网www.szhzxw.cn
4)防御侧收到RST报文,再次提取相关字段计算HASH与报文携带的Sequence number对比,若一致则丢弃该RST报文并将该源IP加入白名单后续访问直接放行,若不一致则直接丢弃该RST报文。对于SYN-Cookie防御手段可简化以下模型:
1)防御侧收到SYN报文后,提取相关字段计算HASH后响应一个带有正确确认号(Acknowledgment number)的SYN-ACK报文;数字化转型网www.szhzxw.cn
2)如果SYN报文源IP是虚假源,则不会收到步骤1)的SYN-ACK报文,也就不会做出任何响应;
3)如果SYN报文源IP是真实源,则会发送ACK报文(Sequence number=步骤1)的Acknowledgment number)完成三次握手;
4)防御侧收到ACK报文,再次提取相关字段计算HASH与报文携带的Sequence number对比,若一致则再回复一个RST报文以中断本地连接、并将该源IP加入白名单后续访问直接放行,若不一致则直接丢弃该ACK报文。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于威努特安全网络;编辑/翻译:数字化转型网Jerry。
