TCP报文 Flood攻击原理与防御方式

这篇具有很好参考价值的文章主要介绍了TCP报文 Flood攻击原理与防御方式。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

TCP交互过程中包含SYN、SYN-ACK、ACK、FIN和RST报文,这几类报文也可能会被攻击者利用,海量的攻击报文会导致被攻击目标系统资源耗尽、网络拥塞,无法正常提供服务。接下来我们介绍几种常见的Flood攻击的原理和防御方式。

SYN Flood攻击与防御

SYN Flood 指的是攻击者利用工具或者操作僵尸主机,向目标服务器发起大量的TCP SYN报文,当服务器回应SYN-ACK报文时,攻击者不再继续回应ACK报文。这时服务器上存在大量的TCP半连接,服务器的资源会被这些半连接耗尽,无法响应正常的请求。

华为Anti-DDoS解决方案防御SYN Flood攻击的常用方式是源认证,从SYN报文建立连接的“行为”入手,判断是否为真实源发出的请求。源认证方法包括基本源认证和高级源认证两种认证方式。

基本源认证

SYN Flood基本源认证过程如下图所示:

flood攻击,网络,服务器,运维

  1. 当连续一段时间内去往目标服务器的SYN报文超过告警阈值后,Anti-DDoS系统启动源认证机制。源认证机制启动后,Anti-DDoS系统将会代替Web服务器向客户端响应带有错误确认序号的SYN-ACK报文。

  2. Anti-DDoS 设备通过校验接收到的对探测报文的响应报文的真实性来确认源 IP 地址的真实性,以防止虚假源攻击。

  • 如果没有响应报文,则表示之前的 SYN 报文为攻击, Anti-DDoS 设备不会将该 SYN 报文发给被防护服务器,有效终止了攻击。未匹配白名单的源 IP 地址发出的 SYN 报文则继续被探测。

  • 如果有响应报文, Anti-DDoS 设备验证响应报文是否为真实的报文,如果真
    实,则表示该源 IP 地址通过源认证, Anti-DDoS 设备将该源 IP 地址加入白名单,在白名单老化前,从此源 IP 地址发出的 SYN 报文都直接被 Anti-DDoS设备转发。

基本源认证方式存在一定的局限性,如果网络中存在某些设备会丢弃带有错误确认序号的SYN-ACK报文,或者有的客户端不响应带有错误确认序号的SYN-ACK报文,基本源认证就不会生效。这时还可以使用高级源认证来验证客户端的真实性。

高级源认证

SYN Flood高级源认证过程如下图所示:

flood攻击,网络,服务器,运维

  1. 当在连续一段时间内去往目标服务器的 SYN 报文超过告警阈值时,Anti-DDoS系统启动源认证机制。源认证机制启动后,Anti-DDoS系统将会代替Web服务器向客户端响应带有正确确认序号的SYN-ACK报文。

  2. Anti-DDoS系统通过观察客户端的响应情况,来判断客户端的真实性。

  • 如果这个源是虚假源,是一个不存在的地址或者是存在的地址但却没有发送过SYN报文,其不会做出任何响应。

  • 如果这个源是真实客户端,其会向服务器发送ACK报文,并对收到的SYN-ACK报文进行确认。Anti-DDoS系统收到ACK报文后,将该客户端的源IP地址加入白名单。同时,Anti-DDoS系统会向客户端发送RST报文,要求重新建立连接。后续这个客户端发出的SYN报文命中白名单直接通过。

无论是基本源认证还是高级源认证,其原理都是Anti-DDoS系统发送SYN-ACK报文来对源进行认证。Anti-DDoS系统收到SYN报文后会反弹SYN-ACK报文。如果网络中存在海量的SYN报文,同样Anti-DDoS系统也会反弹出去海量的SYN-ACK报文,这样势必会造成网络拥塞更加严重。为了避免这个问题,减少反弹的SYN-ACK报文对网络拥塞的影响,Anti-DDoS系统提供了首包丢弃功能。

首包丢弃

TCP 的可靠性保证了面向连接(三次/四次握手),还体现在超时与重传机制。TCP规范要求发送端每发送一个报文,就启动一个定时器并等待确认信息;如果在定时器超时前还没有收到确认,就会重传报文。

首包丢弃功能就是利用了 TCP 的超时重传机制,Anti-DDoS 系统对收到的第一个SYN报文直接丢弃,然后观察客户端是否重传。如果客户端重传了SYN报文,再对重传的SYN报文进行源认证,即反弹SYN-ACK报文,这样就可以大大减少了反弹报文的数量。

实际部署时,将首包丢弃和源认证结合使用。防御SYN Flood攻击时,先通过首包丢弃功能过滤一些攻击报文,当重传的 SYN 报文超过告警阈值后,再启动源认证。这样可以减少反弹的 SYN-ACK报文的数量,缓解网络拥塞情况。

SYN-ACK Flood攻击与防御

通信双方通过三次握手建立一个TCP连接的过程时,SYN-ACK报文出现在第二次握手中,是用来确认第一次握手的。一方收到SYN-ACK报文后,首先会判断该报文是不是属于三次握手范畴之内的报文。如果还在进行第一次握手便又收到了第二次握手的报文,向对方发送RST报文,告知对方其发来的报文有误,不能建立连接。

SYN-ACK Flood攻击是攻击者利用工具或者操控僵尸主机,向目标服务器发送大量的SYN-ACK报文,这些报文都属于凭空出现的第二次握手报文,服务器忙于回复RST报文,导致资源耗尽,无法响应正常的请求。

华为 Anti-DDoS 解决方案使用源认证方式防御 SYN-ACK Flood 攻击,其原理是Anti-DDoS系统向发送SYN-ACK报文的源地址发送SYN报文,相当于发起了第一次握手,以探测该地址是否真实存在。

flood攻击,网络,服务器,运维

SYN-ACK Flood源认证过程如下:

  1. 在连续一段时间内去往目标服务器的SYN-ACK 报文超过告警阈值后,Anti-DDoS系统启动源认证机制。源认证机制启动后,Anti-DDoS 系统向发送 SYN-ACK 报文的源地址发送SYN报文。

  2. Anti-DDoS设备通过源IP地址对探测报文的响应报文校验源是否真实存在,以防止虚假源攻击。

  • 如果没有响应报文,则表示之前的SYN-ACK报文为攻击, Anti-DDoS设备不会将该SYN-ACK报文发给被防护目标,有效终止了攻击。

  • 如果有响应报文, Anti-DDoS设备验证响应报文是否为探测报文的回应报文,如果是,则Anti-DDoS设备将该源IP地址加入白名单,同时会向源地址发送RST报文,断开自己和这个源地址的连接。在白名单老化前,从此源IP地址发出的SYN-ACK报文都直接被Anti-DDoS设备转发。

ACK Flood 攻击与防御原理

在 TCP 三次的握手过程中,ACK 报文出现在第三次握手时,用以确认第二次握手中的SYN-ACK报文。ACK Flood攻击指的是攻击者利用工具或者操控僵尸主机,向目标服务器发送大量的 ACK 报文,服务器忙于回复这些凭空出现的第三次握手报文,导致资源耗尽,无法响应正常的请求。

华为Anti-DDoS解决方案使用会话检查的方式防御ACK Flood攻击。一次正常的TCP连接建立过程,必须先有SYN报文,接着是 SYN-ACK 报文,然后才是 ACK 报文。只有ACK 报文命中了会话,才能说明该报文是正常交互过程中的报文,是真实的报文。

Anti-DDoS系统对ACK报文进行会话检查时,支持基本和严格两种模式。

1.基本模式

使用基本模式时,Anti-DDoS系统对ACK报文进行会话检查,如果ACK报文没有命中会话,Anti-DDoS 系统会允许第一个 ACK 报文通过,并建立会话,以此来对后续ACK报文进行会话检查;如果ACK报文命中了会话,则继续检查报文的序号,允许序号正确的报文通过,序号不正确的报文则被丢弃。

基本模式允许第一个 ACK 报文通过,检查条件比较宽松。如果攻击者发送变源或变端口的 ACK 报文,基本模式会允许报文通过并建立会话,这样会导致攻击报文被放过,影响防御效果。为此,Anti-DDoS 系统还提供了严格模式,检查条件更加严格,防御效果也会更好一些。

2.严格模式

严格模式指的是Anti-DDoS系统对ACK报文进行会话检查时,如果ACK报文没有命中会话,系统直接丢弃报文;如果 ACK 报文命中会话,并且序号正确,系统允许报文通过。

严格模式的检查条件比较苛刻,没有命中会话的 ACK 报文都会被丢弃。在旁路部署动态引流的场景,由于报文来回路径不一致,正常业务的 ACK 报文会因为没有命中会话而被丢弃,因此对正常业务有一定的影响。

FIN/RST Flood攻击与防御

TCP交互过程中还存在FIN报文和RST报文,FIN报文用来关闭TCP连接,RST报文用来断开TCP连接。这两种报文也可能会被攻击者利用来发起DDoS攻击,导致目标服务器资源耗尽,无法响应正常的请求。

华为Anti-DDoS解决方案同样使用会话检查的方式防御FIN/RST Flood攻击。如果FIN/RST报文没有命中会话,系统直接丢弃报文;如果FIN/RST报文命中会话,系统则根据会话创建原因和会话检查结果来判断该报文是否通过。

  • 如果会话是由SYN报文或SYN-ACK报文创建的,则允许该FIN/RST报文通过。

  • 如果会话是由其他报文创建的(例如 ACK 报文),则进一步检查报文序号是否正确,允许序号正确的报文通过,序号不正确的报文则被丢弃。文章来源地址https://www.toymoban.com/news/detail-545694.html

到了这里,关于TCP报文 Flood攻击原理与防御方式的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • DDOS渗透与攻防(二)之SYN-Flood攻击

    系列文章 DDOS渗透与攻防(一)之拒绝服务攻击概念介绍 (1).攻击协议原理介绍说明_Syn-Flood SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。 说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双

    2024年02月02日
    浏览(47)
  • OWASP TOP 10漏洞的原理 和攻击方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)组织发布的当前最严重、最普遍的10种Web应用程序安全漏洞。以下是每种漏洞的原理、攻击方式和防御方法。 注入漏洞(Injection) 原理:攻击者向应用程序中输入恶意代码,使其执行未经授权的操作。 攻击方式:SQL注

    2024年02月07日
    浏览(57)
  • 网络安全领域的常见攻击方式及防御手段

    计算机和网络安全领域存在许多不同类型的攻击方式,这些攻击方式可以利用系统的弱点和漏洞来获取未授权的访问、篡改数据、拒绝服务等。以下是一些常见的攻击方式: 攻击者试图通过重复或延迟发送已经捕获的合法通信数据来欺骗系统或服务。这种攻击通常在没有修改

    2024年02月11日
    浏览(49)
  • 算法介绍 | 泛洪算法(Flood fill Algorithm)

    漫水填充算法、种子填充算法(Seed Fill) 用于确定连接到多维数组中给定节点的区域,可以用来标记或者分离图像的一部分,实现如Ps中自动选区功能。 顾名思义就像洪水漫过一样,把一块连通的区域填满。 当然水要能漫过需要满足一定的条件,可以理解为满足条件的地方

    2024年02月14日
    浏览(40)
  • What is a UDP Flood Attack?

    用户数据报协议 (UDP) 是计算机网络中使用的无连接、不可靠的协议。它在互联网协议 (IP) 的传输层上运行,并提供跨网络的快速、高效的数据传输。与TCP(其更可靠的对应物)不同,UDP不提供端到端的可靠性或流量控制。 UDP 洪水攻击是一种分布式拒绝服务 (DDoS) 攻

    2024年02月07日
    浏览(34)
  • 2.4 - 网络协议 - TCP协议工作原理,报文格式,抓包实战,UDP报文,UDP检错原理

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 TCP

    2024年02月05日
    浏览(55)
  • 【云计算网络安全】解析DDoS攻击:工作原理、识别和防御策略 | 文末送书

    在今天的云计算数字时代,网络安全问题变得愈发重要。尤其是云计算中所设计到的网络安全问题,其中一种常见的网络威胁是分布式拒绝服务(DDoS)攻击。DDoS攻击旨在通过大规模的网络流量淹没目标服务器或网络,以破坏正常的在线服务。了解DDoS攻击的工作原理以及如何

    2024年02月09日
    浏览(61)
  • 数据帧、IP数据包、TCP、UDP报文格式详解----网络通信原理

    物理层是TCP/IP模型的最底层,物理层定义其设备的 物理特性、电气特性 等,比如 网络接口卡、中继器、集线器、网线、无线电 。 物理层作用确保设备之间连接正常,包括建立、维护和断开物理连接等,物理层传输数据是通过电信号中的高低电压和低电压,也就是0101010的比

    2024年02月02日
    浏览(154)
  • 网站防御爬虫攻击有哪些方式

    很多网站都深受爬虫困扰,网站在被爬虫大量抓取的的时候经常容易被爬虫把服务器资源抓崩了,有的时候,同行也会来爬取我们网站进行数据采集,影响我们站点的原创性,那么如何进行相对应的防护还是非常重要的! 爬虫,也称为网络爬虫或网络机器人,是一种自动化的

    2024年01月17日
    浏览(38)
  • 网站防御爬虫攻击的几种方式

    最近研究一个小软件,但遇到对方服务器有反爬机制,有点尴尬。 那就只好先了解看看网站防御爬虫都有哪些方式,好知己知彼 反爬机制主要有两大策略: 01 — 控制IP访问频率       最常见的基本都会使用代理IP来进行访问,但是对于一般人来说,几万ip差不多是极限了,

    2024年02月09日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包