TCP SYN flood网络攻击原理及其防御实现

维普资讯 http://www.cqvip.com ２００８年第２期　福建　电脑　１５９　ＴＣＰ　ＳＹＮ　ｌｆｏｏｄ网络攻击原理及其防御实现　王【摘毅．冯永祥　内蒙古呼和浩特０１００５１）　（内蒙古工业大学信息工程学院要】：本论文讨论现在流行的网络攻击方式，目的是在以后的防火墙的开发中能够寻找出一种比较有效的抵抗洪　水攻击的方案。　【关键词】：拒绝服务攻击；ＳＹＮ—ｃｏｏｋｉｅ；地址状态监控　１．ＴＣＰ　ＳＹＮ　Ｆｌｏｏｄ攻击介绍：　这里需要使用经过伪装且无法通过路由达到的来源ＩＰ地　拒绝服务攻击（Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ，ＤｏＳ）是目前比较有效而又　址．因为攻击者不希望有任何第三方主机可以收到来自目的系　非常难于防御的一种网络攻击方式．它的目的就是使服务器不　统返回的ＳＹＮ／ＡＣＫ，第三方主机会返回一个ＲｓＴ（主机无法判　能够为正常访问的用户提供服务。ＳＹＮ　Ｆｌｏｏｄ是最为有效和流行　断该如何处理连接情况时，会通过ＲＳＴ重置连接），从而妨碍攻　的一种ＤｏＳ攻击形式。它利用ＴＣＰ三次握手协议的缺陷，向目　击进行。如下图所示：　标主机发送大量的伪造源地址的ＳＹＮ连接请求，消耗目标主机　的资源．从而不能够为正常用户提供服务。　飘一龟　Ｒ　１．１　ＴＣＰ连接建立的过程　ＴＣＰ三次握手过程如下：　１１客户端向服务器端发送一个ＳＹＮ置位的ＴＣＰ报文，包含　Ｚ‘　客户端使用的端口号和初始序列号ｘ：　２１服务器端收到客户端发送来的ＳＹＮ报文后，向客户端发　甲　ｌ　瓣璧　ｌ；　］　送一个ＳＹＮ和ＡＣＫ都置位的ＴＣＰ报文，包含确认号为ｘ＋ｌ和　服务器的初始序列号Ｙ：　由此可以看到．这种攻击方式利用了现有ＴＣＰ／ＩＰ协议本身　３１客户端收到服务器返回的ＳＹＮ＋ＡＣＫ报文后，向服务器返　的薄弱环节．而且攻击者可以通过ＩＰ伪装有效的隐蔽自己。但　回一个确认号为ｖ＋１序号为ｘ＋ｌ的ＡＣＫ报文，一个标准的ＴＣＰ　对于目的主机来说．由于无法判断攻击的真正来源。而不能采取　连接完成。如图１所示：　有效的防御措施。　２．防御ＳＹＮ　Ｆｌｏｏｄ的方法　ＳＹＮ　Ｆｌｏｏｄ攻击给互联网造成重大影响后．针对如何防御　ＳＹＮ　Ｆｌｏｏｄ攻击出现了几种比较有效的技术．以下硒种技术是目　前所有的防御ＳＹＮ　Ｆｌｏｏｄ攻击的最为成熟和可行的技术　２．１　ＳＹＮ－ｃｏｏｋｉｅ　ＳＹＮ—ｃｏｏｋｉｅ是对ＴＣＰ服务器端的三次握手协议作一些修　图１正常情况下ＴＣＰ连接建立的过程　１．２攻击原理　妻一改．专门用来防范ＳＹＮ　ＴＣＰ服务器收到ＴＣＰ　　Ｆｌｏｏｄ攻击的一种手段。它的原理是，在　ＳＹＮ包并返回ＴＣＰ　ＳＹＮ＋ＡＣＫ包时．不分　客户端通过发送在ＴＣＰ报头中ｓＹＮ标志置位的数据分段　配一个专门的数据区．而是根据这个ＳＹＮ包计算出一个ｃｏｏｋｉｅ　到服务端来请求建立连接。通常情况下．服务端会按照ＩＰ报头　值。在收到ＴＣＰ　ＡＣＫ包时，ＴＣＰ服务器在根据那个ｃｏｏｋｉｅ值检　中的来源地址来返回ＳＹＮ／ＡＣＫ置位的数据包给客户端．客户端　查这个ＴＣＰ　ＡＣＫ包的合法性。如果合法，再分配专门的数据区　再返回ＡＣＫ到服务端来完成一个完整的连接。　进行处理未来的ＴＣＰ连接。　在攻击发生时．客户端的来源ＩＰ地址是经过伪造的　２．２地址状态监控　（ｓｐｏｏｆｅｄ）．现行的ＩＰ路由机制仅检查目的ＩＰ地址并进行转发．　地址状态监控是利用监控工具对网络中的有关ＴＣＰ连接　该ＩＰ包到达目的主机后返回路径无法通过路由达到的．于是目　的数据包进行监控，并对监听到的数据包进行处理。处理的主要　的主机无法通过ＴＣＰ三次握手建立连接。在此期间因为ＴＣＰ缓　依据是连接请求的源地址。每个源地址都有一个状态与之对应。　存队列已经填满，而拒绝新的连接请求。目的主机一直尝试直至　总共有四种状态：　超时（大约７５秒）。这就是该攻击类型的基本机制。　初态：任何源地址刚开始的状态：　发动攻击的主机只要发送较少的．来源地址经过伪装而且　ＮＥＷ状态：第一次出现或出现多次也不能断定存在的源地　无法通过路由达到的ＳＹＮ连接请求至目标主机提供ＴＣＰ服务　址的状态：　的端口。将目的主机的ＴＣＰ缓存队列填满．就可以实施一次成　ＧＯＯＤ状态：断定存在的源地址所处的状态：　功的攻击。实际情况下，发动攻击时往往是持续且高速的。　ＢＡＤ状态：源地址不存在或不可达时所处的状态。　如下所示．为ＳＹＮ　Ｆｌｏｏｄ攻击过程示意图　具体的动作和状态转换根据ＴＣＰ头中的位码值决定：　童一苣　一盒　１）监听到ＳＹＮ包，如果源地址是第一次出现，则置该源地　址的状态为ＮＥＷ状态：如果是ＮＥＷ状态或ＢＡＤ状态：则将该　ｌ　瓣筝茹：　ｌｌ　Ｚ‘———包被直接丢弃。如果是ＧＯＯＤ状态不作任何处理。　—————一！楚卜———　＿　（爱匾　—　———一—一　２）监听到ＡＣＫ或ＲＳＴ包。如果源地址的状态为ＮＥＷ状　————屯匦　———　———＿（函　——一　态，则转为ＧＯＯＤ状态：如果是ＧＯ０Ｄ状态则不变：如果是ＢＡＤ　Ｚ‘———－｛爱　——＿　状态则转为ＮＥＷ状态。　ｚ＿■　．＿＿３）监听到从服务器来的ＳＹＮ　ＡＣＫ报文（目的地址为ａｄｄｒ），　—　ｚ＿——　爱园一面函一一　＿１　．ｒｌ　＝—．１．１ｂｌｌ　　表明服务器已经为从ａｄｄｒ发来的连接请求建（下转第１３６页）　维普资讯 http://www.cqvip.com １３６　福建电脑　ｏｒｄｅｒｂｙ　ｇｂｔｅｔａｂｌｅ．Ｓｃｏｒｅ）　＿２００８年第２期　能接口，不直接调用具体的数据库，增强了数据库的安全性。　４．系统实现的关键技术　ａｎｄ　ＬＩ－￣Ｎｏ　ｎｏｔｉｎ（ｓｅｌｅｃｔｔｏｐ　３　ＬＩ－￣Ｎｏｆｒｏｍ　ｇｂｔｅ＿ｔａｂｌｅ　ｗｈｅｒｅ￣ｂｔｅｔａｂｉｅ．ＣｌａｓｓＮ￣＿＿４．１添加第三方控件到工具箱　ｏｒｄｅｒ　ｂｙ　ｇｂｔｃ　ｔａｂ】ｅ．ｓｃ０ｍ　ｄｅｓｅ）　本系统的开发过程中用到一些第三方控件．这些控件在　ｇｒｏｕｐｂｙ　ｇｂｔｅ＿ｔａｂｌｅ．Ｃｌａｓｓ　ＮⅢ　４．３参数传递的设计模式　ＶＢ．ＮＥＴ集成编辑环境下的工具箱中是找不到的．在使用这些控　本系统使用基于ＯＳ的三层架构．每一层之间是通过什么　件之前，必须先将这些控件添加到工具箱。　　本系统中用到的第三方控件放在安装程序文件夹的．Ｉ１ｌｉｒｄ．　来交换数据呢？以晚自修信息添加业务为例加以说明：Ｐａｎ＇ｙＣｏｍｐｏｎｅｎｔ下，包括：ＥｘＲｉｃｈＴｅｘｔＢｏｘ．ｄｌｌ，Ｓｙｓｔｅｍ．Ｗｉｎｄｏｗｓ．　藿　壤接后台救　‘　“’。　ｌ　用存　过程＾ｄ．ｈｘｊｎｆｏ　Ｉ　Ｆｏｒｍｓ．Ｔ￣ｅＬｉｓｔＶｉｅｗ．ｄｌｌ，ＸＰａｎｄｅｒＣｏｎｔｒｏ１．ｄＵ，它们是免费的，可以在　＼　职ｎ１Ｐ：　【ｒＷＷ．ＣＯＤＥＰＩＬｏＪＥＣＴ．ＣＯＭ找到。添加到工具箱中的组　誊　篙　兰嚣：惹：　：　盘　Ｉ＿甩‘“＾“ｔ　ｌ＼　　Ｌ¨件如果路径发生变化，工具箱中相应的控件将不可用：如果项目　、　中的某个窗体使用了第三方控件。此项目将自动依赖相应组件。　曩　ｌＩ……　…　＝：：：　ｔ　：．ｎ．＝：　：Ｉ＿…．　¨一ｌ．ｖ—ｌ　调用口ｐｏｂＪ．＾ｄｄ＼‘　∞ｐ）　在编译时会自动把相应的组件复制到项目的ｂｉｎ目录下：工具　箱只是一个设计时的辅助工具．用来生成窗体设计器代码和添　图２参数传递的设计模式实现流程　加组件引用。　首先。由数据层提供的方法连接后台数据库，再调用存储过　４．２复杂统计　的对象　本系统中，复杂统计汇总有许多，每一处统计均通过ＳＱＬ　程，把参数传递给业务层，在业务层中产生ＳＱ‰，调用数据层的方法ＧｅｔＤａｔａＶｉｅｗ（ｓｔｒＳＱｌ，ｄｖ），其中ｓｕＳｑｌ为　语句来实现。比如晚自修月汇总统计就很复杂。晚自修纪律检查　ｄｂ０ｂｉ必须先产生　有几部分人员．每一部分人员的检查结果在月总计的结果中占　存储过程。之后等待界面层调用。界面层要调用时，ＷｚｘＩｎｆｏ的对象ｏｐＯｂｊ。再调用ｏｐＯｂｊ．ａｄｄ（ｄｍｏｐ）。其中ｄｍｏｐ为界　的比例不一样。因此，用下列ＳＱＬ语句实现：　面层传过来的实际参数。　ｉｎｓｅｒｔ　ｉｎｔｏ　ｔｅｍｐＷＺＸ＿Ｔａｂｌｅ　ｓｅｌｅｃｔ　ｅｌｍ＿Ｎａｍｅ，　＿Ｔａｂｌｅ．Ｃｌａｓｓ　Ｎ矗ｍｅ　ａｖｇ（ｃａｓｅ　Ｃｈｅ＿ｍａｎ　ｗｈｅｎ　学生科　ｔｈｅｎ　ｓｃｏｒｅ＊０．４　ｅｎｄ）∞ｆｅｎ１．　ａｖｇ（ｅａｓｅＣｈｅ＿ｍａｎｗｈｅｎ　学生干部　ｔｈｅｎ　Ｓｃｏｒｅ＊０．３　ｅｎｄ１∞ｆｅｎ２，　ａｖｇ（ｅａｓｅ　Ｃｈｅ＿ｍａｎ　ｗｈｅｎ　专业科　ｔｈｅｎ　Ｓｃｏｒｅ＊（｝．２　ｅｎｄ）ａｓ　ｆｅｎ３．　ａｖｇ（ｅａｓｅＣｈｅ＿ｍａｎｗｈｅｎ　值班教师　ｔｈｅｎ　Ｓｃｏｒｅ．ｏ．１　ｅｎｄ１∞ｆｅｎ４　ｆｒｏｍＷｇＸ＿Ｔａｂｌｅ　ｗｈｔＩｅ　ｍｏｎｔｈ（Ｃｈｅ＿ｄａｔｅ）ｆ￣ｌ＇＿ｄａｔｅ　ｇｒｏｕｐ　ｂｙ　Ｃ２ｕａｓｓ＿ｎａｍｅ　５．结束语　基于校园网的德育量化管理系统是学校德育管理在现代信　息系统的一个重要的应用。它使整个德育过程得以科学、规范的　管理。有效提高了德育管理工作的质量和效率。系统目前已经开　发完成，在多个客户端接人的情况下，都能够迅速地完成任务，　又比如广播体操月汇总统计．每一个班级的得分是通过学　得到了很好的效果。　生于部检查得来，为了公平、客观并最大限度地降低主观臆断因　素的影响，必须把每个班的前三高分和后三低分去掉再求平均。　参考文献：　具体ＳＱＬ语句如下：　１．班毁（班主任）量化管理评比试行办法．东莞理工学校，２００５．６　ｓｅｌｅｃｔ　∞ｄｉｎｔｏｂｇｚｔａｂｌｅ　＿２．走中凡．何玉洁等ＶＢ．ＮＥＴ稿程入门北京：航空航天大学出版社　２ｏｏ３．３　ｈｅｎ　ｗｇｂｔｃ＿Ｔａｂｌｅ．Ｃｌａｓｓ＿Ｊｑ￣ｓ＿Ｔａｂｌｅ．Ｃｈｓｓ＿Ｎａｍｅ　ａｎｄＬＩ－￣Ｎｏ　ｎｏｔｉｎ（￣ｅｌｍｔｏｐ　３　ＬＨ＿Ｎｏｆｒｏｍ　ｇｈｔｃ＿ｔａｂｌｅ　ｈｅｗｎ　ｇｂｔ￣ｔａｂｌｅ．Ｃｌａｓｓ＿Ｊｑｍｎｅ＝Ｃｌａｓｓ＿Ｔａｂｌｅ．Ｃｌａｓｓ＿Ｎａｍｅ　３．邦瑞军．王松等Ｖｉｓｕａｌ　Ｂｍｃ．ＮＥＴ敖据库开发实例精粹北京：电子工　业出版社．２００６．５　（上接第１５９页）　２）对于一个合法的ＳＹＮ报文，若源地址第一次出现，则源　ＡＣＫ包，建立连接，同时，开始计时，如果超时，还未收到ＡＣＫ报　地址的状态为ＮＥＷ状态，服务器响应请求，发送ＳＹＮ＋ＡＣＫ报　连接建立完毕。之后，来自客户端　文，证明ａｄｄｒ不可达，如果此时ａｄ＆的状态为ＧＯＯＤ则转为　文，监控程序发送ＡＣＫ报文，该源地址的状态转为ＧＯＯＤ状态。服务器　ＮＥＷ状态；如果ａｄ＆的状态为ＮＥＷ状态则转为ＢＡＤ状态；如　的ＡＣＫ很快会到达．可以很好的处理重复到达的ＡＣＫ包。　果为ａｄｄｒ的状态为ＢＡＤ状态则不变。　从以上分析可以看出。基于监控的方法可以很好的防御　状态的转换图如图３所示：　ＳＹＮ　Ｆｌｏｏｄ攻击．而不影响正常用户的连接。　３．小结　本文介绍了ＳＹＮ　Ｆｌｏｏｄ攻击的基本原理，然后详细描述了　种比较有效和方便实施的防御方法：基于监控的源地址状态　技术能够对每一个连接服务器的　地址的状态进行监控，主动　立了一个半连接，为防止建立的半连接过多，向服务器发送一个　一图３地址状态转换图　采取措施避免ＳＹＮ　Ｆｌｏｏｄ攻击的影响。这两种技术是目前所有　Ｆｌｏｏｄ攻击的最为成熟和可行的技术．　下面分析一下基于地址状态监控的方法如何能够防御ＳＹＮ　的防御ＳＹＮ　Ｆｌｏｏｄ攻击。　１）对于一个伪造源地址的ＳＹＮ报文，若源地址第一次出　参考文献：　颜学雄。王清贤，李梅林．ＳＹＮ　Ｆｌｏｏｄ攻击原理与预坊方法．计算机应　现。则源地址的状态为ＮＥＷ状态，当监听到服务器的ｓＹＮ＋　１．ＡＣＫ报文．表明服务器已经为该源地址的连接请求建立了半连　用．２０００　接。此时，监控程序代源地址发送一个ＡＣＫ报文完成连接。这　２．孙曦，朱晓妍，王育林．ＤＤｏＳ下的ＴＣＰ洪流攻击及对策．同络安全　样．半连接队列中的半连接数不是很多。计时器开始计时，由于　技术与应用．２００４　３．李磊。赵永祥，陈常嘉．ＴＣＰ　ＳＹＮＦｌｏｏｄｉｎｇ原理及其应对策略．同络　源地址是伪造的，所以不会收到ＡＣＫ报文，超时后，监控程序发　与应用．２００３　送ＲｓＴ数据包，服务器释放该连接，该源地址的状态转为ＢＡＤ　４．陈波．ＳＹＮ　Ｆｌｏｏｄ攻击的原理、实现与坊范．计算机应用与研兜，２００３　状态。之后，对于每一个来自该源地址的ＳＹＮ报文，监控程序都　会主动发送一个ＲｓＴ报文。