📄 359.htm
字号:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center"> ● UNIX网络编程 (BM: clown) </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="343.htm">上一层</a>][<a href="360.htm">下一篇</a>]
<hr><p align="left"><small>发信人: jimmly (爱你在心口难开), 信区: Security WWW-POST <br>
标 题: SYN Flood攻击的基本原理及防御(zz) <br>
发信站: 武汉白云黄鹤站 (Fri Jun 29 10:38:07 2001) , 站内信件 <br>
SYN Flood攻击的基本原理及防御 <br>
转载:xundi(xundi) <br>
来源:http://shotgun.patching.net/syn.htm <br>
Shotgun <br>
首发于天极网 <br>
第一部分 SYN Flood的基本原理 <br>
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式 <br>
之一 <br>
,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗 <br>
尽( <br>
CPU满负荷或内存不足)的攻击方式。 <br>
要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起: <br>
大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间 <br>
传送 <br>
TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的 <br>
: <br>
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize) <br>
,同 <br>
步报文会指明客户端使用的端口以及TCP连接的初始序号; <br>
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的 <br>
请求 <br>
被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。 <br>
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个 <br>
TCP <br>
连 <br>
接完成。 <br>
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。 <br>
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或 <br>
掉线 <br>
,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无 <br>
法完 <br>
成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后 <br>
丢 <br>
弃 <br>
这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是 <br>
分钟的数 <br>
量 <br>
级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待 <br>
1分钟并不是什么 <br>
很 <br>
大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器 <br>
端将为了维护一个非常大 <br>
的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也 <br>
会消 <br>
耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际 <br>
上如 <br>
果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统 <br>
足 <br>
够 <br>
强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请 <br>
求(毕竟 <br>
客 <br>
户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失 <br>
去响应,这种情况 <br>
我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 <br>
从防御角度来说,有几种简单的解决方法,第一种是缩短SYN Timeout时间,由于SYN F <br>
lood <br>
攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeo <br>
ut, <br>
所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为2 <br>
0秒 <br>
以 <br>
下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服 <br>
务器的负荷 <br>
务器的负荷 <br>
。 <br>
<br>
第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie, <br>
如果 <br>
短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的 <br>
包 <br>
会 <br>
被一概丢弃。 <br>
可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅 <br>
在对 <br>
方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击 <br>
者以 <br>
数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方 <br>
法将 <br>
毫无用武之地。 <br>
第二部份 SYN Flooder源码解读 <br>
下面我们来分析SYN Flooder的程序实现。 <br>
首先,我们来看一下TCP报文的格式: <br>
0 1 2 3 4 5 6 <br>
0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| IP首部 | TCP首部 | TCP数据段 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
图一 TCP报文结构 <br>
如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP首部与不定 <br>
长的 <br>
数据段,(实际操作时可能会有可选的IP选项,这种情况下TCP首部向后顺延)由于我们 <br>
只 <br>
是 <br>
发送一个SYN信号,并不传递任何数据,所以TCP数据段为空。TCP首部的数据结构 <br>
为: <br>
0 1 2 3 <br>
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 十六位源端口号 | 十六位目标端口号 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 三十二位序列号 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 三十二位确认号 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 四位 | |U|A|P|R|S|F| | <br>
| 首部 |六位保留位 |R|C|S|S|Y|I| 十六位窗口大小 | <br>
| 长度 | |G|K|H|T|N|N| | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 十六位校验和 | 十六位紧急指针 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 选项(若有) | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 数据(若有) | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
图二 TCP首部结构 <br>
根据TCP报文格式,我们定义一个结构TCP_HEADER用来存放TCP首部: <br>
typedef struct _tcphdr <br>
{ <br>
USHORT th_sport; //16位源端口 <br>
USHORT th_dport; //16位目的端口 <br>
unsigned int th_seq; //32位序列号 <br>
unsigned int th_ack; //32位确认号 <br>
unsigned char th_lenres; //4位首部长度+6位保留字中的4位 <br>
unsigned char th_flag; //2位保留字+6位标志位 <br>
USHORT th_win; //16位窗口大小 <br>
USHORT th_sum; //16位校验和 <br>
USHORT th_urp; //16位紧急数据偏移量 <br>
}TCP_HEADER; <br>
通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010) <br>
我 <br>
我 <br>
们 <br>
能制造一个SYN的TCP报文,通过大量发送这个报文可以实现SYN Flood的效果。但 <br>
是为了进 <br>
行 <br>
IP欺骗从而隐藏自己,也为了躲避服务器的SYN Cookie检查,还需要直接 <br>
对IP首部进行操作 <br>
: <br>
0 1 2 3 <br>
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 版本 | 长度 | 八位服务类型 | 十六位总长度 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 十六位标识 | 标志| 十三位片偏移 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 八位生存时间 | 八位协议 | 十六位首部校验和 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 三十二位源IP地址 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 三十二位目的IP地址 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 选项(若有) | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
| 数据 | <br>
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ <br>
图三 IP首部结构 <br>
同样定义一个IP_HEADER来存放IP首部 <br>
typedef struct _iphdr <br>
{ <br>
unsigned char h_verlen; //4位首部长度+4位IP版本号 <br>
unsigned char tos; //8位服务类型TOS <br>
unsigned short total_len; //16位总长度(字节) <br>
unsigned short ident; //16位标识 <br>
unsigned short frag_and_flags; //3位标志位 <br>
unsigned char ttl; //8位生存时间 TTL <br>
unsigned char proto; //8位协议号(TCP, UDP 或其他) <br>
unsigned short checksum; //16位IP首部校验和 <br>
unsigned int sourceIP; //32位源IP地址 <br>
unsigned int destIP; //32位目的IP地址 <br>
}IP_HEADER; <br>
然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERL <br>
APPE <br>
D)); <br>
建立一个原始套接口,由于我们的IP源地址是伪造的,所以不能指望系统帮我们计 <br>
算IP <br>
算IP <br>
校验和,我们得在在setsockopt中设置IP_HDRINCL告诉系统自己填充IP首部并自己计算 <br>
校验 <br>
和: <br>
flag=TRUE; <br>
setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int)); <br>
IP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0), <br>
然后 <br>
计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数如下所示: <br>
USHORT checksum(USHORT *buffer, int size) <br>
{ <br>
unsigned long cksum=0; <br>
while(size >1) { <br>
cksum+=*buffer++; <br>
size -=sizeof(USHORT); <br>
} <br>
if(size ) cksum += *(UCHAR*)buffer; <br>
cksum = (cksum >> 16) + (cksum & 0xffff); <br>
cksum += (cksum >>16); <br>
return (USHORT)(~cksum); <br>
} <br>
这个函数并没有经过任何的优化,由于校验和函数是TCP/IP协议中被调用最多函数之一 <br>
,所 <br>
,所 <br>
以一般说来,在实现TCP/IP栈时,会根据操作系统对校验和函数进行优化。 <br>
TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。 <br>
需要注意的是,由于TCP首部中不包含源地址与目标地址等信息,为了保证TCP校验的有 <br>
效性 <br>
,在进行TCP校验和的计算时,需要增加一个TCP伪首部的校验和,定义如下: <br>
struct <br>
{ <br>
unsigned long saddr; //源地址 <br>
unsigned long daddr; //目的地址 <br>
char mbz; //置空 <br>
char ptcl; //协议类型 <br>
unsigned short tcpl; //TCP长度 <br>
}psd_header; <br>
然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和: <br>
memcpy(SendBuf,&psd_header,sizeof(psd_header)); <br>
memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); <br>
tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(t <br>
cp_h <br>
eader)); <br>
计算IP校验和的时候不需要包括TCP伪首部: <br>
memcpy(SendBuf,&ip_header,sizeof(ip_header)); <br>
memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); <br>
ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof( <br>
tcp_ <br>
header)); <br>
再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了: <br>
memcpy(SendBuf,&ip_header,sizeof(ip_header)); <br>
sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(De <br>
stAd <br>
dr)); <br>
因为整个TCP报文中的所有部分都是我们自己写入的(操作系统不会做任何干涉),所以 <br>
我 <br>
们 <br>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -