数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、攻击原理
通信双方通过三次握手建立一个TCP连接的过程中,SYN-ACK报文出现在第二次握手中,是用来确认第一次握手的。一方收到SYN-ACK报文后,首先会判断该报文是不是属于三次握手范畴之内的报文。如果都没有进行第一次握手就直接收到了第二次握手的报文,那么就会向对方发送RST报文,告知对方其发来报文有误,不能建立连接。SYN-ACK Flood攻击正是利用了这一点,攻击者利用工具或者操纵僵尸主机,向目标服务器发送大量的SYN-ACK报文,这些报文都属于凭空出现的第二次握手报文,服务器忙于回复RST报文,导致资源耗尽,无法响应正常的请求。数字化转型网www.szhzxw.cn
二、防御原理
一种方案是基于源认证思想,其防御模型可简化为:
1)防御侧收到SYN-ACK报文后,提取相关字段计算HASH并主动发送一个目的IP是SYN-ACK报文源IP的SYN报文,主动探测一下该源IP是否真实存在;数字化转型网www.szhzxw.cn
2)如果是虚假源IP则收不到该SYN报文,也就不会做出任何响应;
3)如果是真实源IP则会回复一个SYN-ACK报文;
4)防御侧收到SYN-ACK报文,再次提取相关字段计算HASH并进行比对,若比对通过则回复RST中断该连接、并将该源IP加入白名单后续访问直接放行,若比对不通过则直接丢弃该SYN-ACK报文。另一种方案是状态检测思想,防御侧收到SYN-ACK报文后,查找会话表项,若查到则放行、若查不到则丢弃。需要注意的是这种模式只适用于串接部署来回路径一致的场景,即保证SYN和SYN-ACK报文都会经过防御设备。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于威努特安全网络;编辑/翻译:数字化转型网Jerry。
