SYN flood

✍ dations ◷ 2025-06-08 19:02:49 #阻断服务攻击

SYN flood或称SYN洪水、SYN洪泛是一种拒绝服务攻击,起因于攻击者发送一系列的SYN请求到目标系统。

当客户端试着与服务器间创建TCP连线时,正常情况下客户端与服务器端交换一系列的信息如下:

这即是所谓TCP三次握手,并且这是每个使用TCP传输协议创建连线的基础。

SYN flood是一种广为人知的攻击,一般对现代网络不太有效。这种攻击只有在服务器在收到SYN后分配资源,但在收到ACK之前这个区段有效。

SYN flood攻击目前有两种方法,不过都与服务端没收到ACK有关。恶意用户可以跳过发送最后的ACK信息;或者在SYN里透过欺骗来源IP地址,这让服务器送SYN-ACK到假造的IP地址,因此永不可能收到ACK。这两个案例服务器会花点时间等抄收通知,故一个简单的网络壅塞可能是由于没有ACK造成的。

如果这些半开通连线(英语:TCP half-open)绑定服务器资源,透过海量SYN信息淹没服务器是有可能耗尽其资源。一旦所有资源都拨给半开通连线所保留,没有新的连线(不管合法不合法)可被创建,导致拒绝服务攻击。某些系统可能会故障得很糟糕,甚至宕机如果其他操作系统函数渴望这种形式的资源。

过去通常于1996年用来分配资源给半开通连线的技术牵涉到通常相当短的队列。队列的每个空位可在连线完成、或者到期时被清空。当队列满时,新进来的连线创建会失败。以上面的示例来说,所有新进来的连线在总共8个数据包被提交之前会被阻挡下来。也就是说,每3分钟正时算好的8个数据包将阻断所有新进的TCP连线完成。这让这种拒绝服务攻击只须占很小的传输量。

建议的反制方法包括SYN cookie或者限定某一段时间内来自同一来源请求新连线的数量,不过因为现代的TCP/IP堆栈没有上面所述的瓶颈,因此介于SYN flood与其它种基于通道容量类型的攻击应该会只有很小或几乎没有差别。

反射路由器亦可以被攻击者所利用,以取代客户端机器。SYN讲的是黑客利用TCP协议发送大量的半连接请求去攻击目标服务器或者主机,致使目标服务器发生拒绝服务,或者蓝屏。

在 RFC 4987 中有许多著名的对策,包括:

相关

  • 大规模的反攻作战轴心国 纳粹德国 意大利王国(至1943年) 匈牙利王国 罗马尼亚王国(至1944年) 保加里亚第三帝国(至1944年)同盟国 苏联 波兰(英语:Polish Armed Forces in the East) 南斯拉夫(自1
  • 突胸总目今颚类(学名:Neognathae),亦作新颚类,是鸟纲之下的一个支序。本支序原为总目或下纲级分类,具有充气性的骨骼,龙骨突发达,左右锁骨下端愈合,称之为叉骨,尾综骨发达。体表有羽区跟裸区的
  • 第二任期诅咒第二任期诅咒(英语:Second-term curse),又称总统第二任期魔咒、连任魔咒,是指出现在总统制国家元首(总统)的一种政治现象。在美国政治界里认为,美国总统成功竞选连任之后,因不能再在
  • 达摩达尔·潘德达摩达尔·潘德(尼泊尔语:दामोदर पाँडे,1752年-1804年)是尼泊尔沙阿王朝时期的一位政治、军事人物,于1799年至1804年期间担任尼泊尔首相。在中国史料里被称作旦姆达尔
  • 塔特兰斯卡鲁门尼卡塔特兰斯卡鲁门尼卡(斯洛伐克语:Tatranská Lomnica)是位于斯洛伐克北部的一个村镇。塔特兰斯卡鲁门尼卡是斯洛伐克著名的旅游胜地,以滑雪和登山运动而著称。塔特兰斯卡鲁门尼卡
  • 易县易县在中国河北省中部偏西,是保定市下辖的一个县;位于太行山东麓,拒马河和易水的上游,因易水得名。地处太行山区向华北平原过渡倾斜地带,十分之七为山地,平原地区主要种植小麦,玉米
  • 孙如洵孙如洵(16世纪-17世纪),字木由,浙江绍兴府山阴县人,一说余姚县人,明朝政治人物。孙如洵是万历四十年(1612年)举人,次年(1613年)联捷进士,授刑部主事;调任池州知府,亲自率领居民消灭肆虐沿江
  • 砍杀电影砍杀电影(slasher film),又称砍杀片,是恐怖片的一种类型,主要特征是片中有一个疯狂的往往精神不正常的反派角色手持利器追踪并杀死一系列的人物。砍杀电影的鼻祖据说是1932年的《
  • 英国天然气英国天然气(British Gas)是一家英国能源公司,为森特理克的子公司。该公司为英国超过两百万的家庭提供著水电服务,是最大的英国能源供给商,被认为是英国六大能源公司之一。该公司
  • 三原脩球员监督三原脩(1911年11月21日-1984年2月6日),生于日本香川县仲多度郡。曾为日本职棒东京巨人军选手,引退后曾担任读卖巨人、西铁狮、大洋鲸队、大阪近铁野牛、益力多Atoms的监