洪水攻击什么是洪水攻击

洪水攻击时间:2021-02-04 阅读:()

SYN洪水攻击是病毒吗？

不是病毒，原理如下：你学过tcp/ip协议栈吗? tcp有个三次握手。

利用的是伪装很多的ip地址去发送syn包到受害者的主机的开放的端口，然后受害者应该过多的半开链接而cpu资源耗尽

洪水攻击的介绍

洪水攻击是现在黑客比较常用的一种攻击技术，特点是实施简单，威力巨大，大多是无视防御的。

怎么防御洪水攻击

城镇建设选址的时候选在地势比较高，排水设施比较完备的地方。

继续加强水利设施的建设，如像三峡工程这样的水利设施，可以有效降低洪水对沿岸的影响。

植树造林，有效的绿色植被可以减缓洪水从山上下泄的速度，降低洪峰。

洪水攻击怎么消除

抵御SYN洪水攻击较常用的方法为网关防火墙法、中继防火墙法和SYNcookies。

按网络在防火墙内侧还是外侧将其分为内网、外网(内网是受防火墙保护的)。

其次，设置防火墙的SYN重传计时器。

超时值必须足够小，避免backlog队列被填满;同时又要足够大保证用户的正常通讯。

(1) 网关防火墙法网关防火墙抵御攻击的基本思想是:对于内网服务器所发的SYN/ACK包，防火墙立即发送ACK包响应。

当内网服务器接到ACK包后，从backlog队列中移出此半连接，连接转为开连接，TCP连接建成。

由于服务器处理开连接的能力比处理半连接大得多，这种方法能有效减轻对内网服务器的SYN攻击，能有效地让backlog队列处于未满状态，同时在重传一个未完成的连接之前可以等待更长时间。

以下为算法完整描述: 第一步，防火墙截获外网客户端发向内网服务器SYN数据包，允许其通过，抵达内网服务器。

同时在连接跟踪表中记录此事件. 第二步，防火墙截获服务器发向客户端的SYN/ACK响应包，用连接跟踪表中记录的相应SYN包匹配它. 第三步，防火墙让截获的SYN/ACK继续进行(发向客户端)。

同时，向内网服务器发送ACK包。

这样，对服务器来说，TCP连接三次握手已经完成。

系统在backlog队列中删掉此半连接. 第四步，看此TCP连接是否有效，相应产生两种解决方法。

如果客户端的连接尝试是有效的，那么防火墙将接到来自客户端的ACK包，然后防火墙将它转发到服务器。

服务器会忽略这个冗余的ACK包，这在TCP协议中是允许的. 如果客户端的IP地址并不存在，那么防火墙将收不到来自客户端的ACK包，重转计时器将超时。

这时，防火墙重传此连接. (2) 中继防火墙法中继防火墙抵御攻击的思想是:防火墙在向内网服务器发SYN包之前，首先完成与外网的三次握手连接，从而消除SYN洪水攻击的成立条件。

以下为算法完整描述: 第一步，防火墙截获外网客户端发向内网服务器SYN数据包. 第二步，防火墙并不直接向内网发SYN数据包，而是代替内网服务器向外网发SYNIACK数据包. 第三步，只有接到外网的ACK包，防火墙向内网发SYN包. 第四步，服务器应答SYN/ACK包. 第五步，防火墙应答ACK包. (3) 分析首先分析算法的性能，可以看出:为了提高效率，上述算法使用了状态检测等机制(可通过本系统的基本模块层得以实现) 对于非SYN包(CSYN/ACK及ACK包)，如果在连线跟踪信息表未查找到相应项，则还要匹配规则库，而匹配规则库需比较诸多项(如IP地址、端口号等)，花费较大，这会降低防火墙的流量。

另外，在中继防火墙算法中，由于使用了SYN包代理，增加了防火墙的负荷，也会降低防火墙的流量。

其次，当攻击主机发ACK包，而不是SYN包，算法将出现安全漏洞。

一般地，TCP连接从SYN包开始，一旦 SYN包匹配规则库，此连接将被加到连接跟踪表中，并且系统给其60s延时。

之后，当接到ACK包时，此连接延时突然加大到3600s。

如果，TCP连接从ACK包开始，同时此连接未在连接跟踪表中注册，ACK包会匹配规则库。

如匹配成功，此连接将被加到连接跟踪表中，同时其延时被设置为3600s。

即使系统无响应，此连接也不会终止。

如果攻击者发大量的ACK包，就会使半连接队列填满，导致无法建立其它TCP连接。

此类攻击来自于内网。

因为，来自于外网的ACK包攻击，服务器会很快发RST包终止此连接(SOs>。

而对于内网的外发包，其限制规则的严格性要小的多。

一旦攻击者在某时间段内从内网发大量ACK包，并且速度高于防火墙处理速度，很容易造成系统瘫痪。

(4) SYN cookies Linux支持SYN cookies，它通过修改TCP协议的序列号生成方法来加强抵御SYN洪水攻击能力。

在TCP协议中，当收到客户端的SYN请求时，服务器需要回复SYN-SACK包给客户端，客户端也要发送确认包给服务器。

通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。

当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie(回复包的SYN序列号)给客户端，如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到。

cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。

如果相等，直接完成三次握手(注意:此时并不用查看此连接是否属于backlog队列)。

此算法的优点是:半连接队列满时，SYN cookies仍可以处理新SYN请求。

缺点是:某些TCP选项必须禁用，如大窗口等。

计算cookies有花销。

/*一个IP包，其分片都被放入到一个链表中，作为每一个分片的链表节点用ipfrag结构表示。

IP分片的中心组装在此链表进行。

*/ 内核抵御攻击的代码结构如下： // From /ctu_85/archive/2008/01/03/2023205.aspx /*IP分片结构体*/ struct ipfrag { int offset; //ip包中此分片的偏移值 int end; //此分片最后一个株距在ip包中的位置 int len; //此分片长度 struct sk_buff *skb; //分片数据包 unsigned ........ if(end<= offset)&&(i>skb->len) return NF_DRDP; } } return NF_ACCEPT; 组成规则的三个结构体具体解释如下: (1)ipt...... unsigned int nfcache ; //用此位域表示数据报的哪些部分由这个规则检查 ....... ; //包含数据包及匹配此规则数据包的计算数值以下仅列出ipt_entry_match结构体: struce ipt_entry_match { union { struct{ u_int16_t target_size; ...... ...... { struct list_head list;//链表 struct u int32 ipaddr; //地址 u_ int16 port; //端口 }src; //源端信息 struct { u_ int32 ipaddr; u_ int 16 port; } dst; //目的端信息 u_intl6 protonum; //协议号望给采纳