DDOS之SYNFlood原理及预防策略

时间：2019-08-01 20:01:27 阅读：123 评论：0 收藏：0 [点我收藏+]

DDOS***之SYNFlood***原理及预防策略
DDOS***由DOS***演变而来，DOS(Denial of Service)***其思路是让系统“超载”并拒绝提供正常服务。这些***操作简单，只需要利用协议漏洞或携带被允许进入网络的正常流量即可。因为DOS***利用的是协议漏洞，其流量表面上是平常的流量，所以很难完全被消除。
相比DOS***使用单台或者少数设备进行***而言，DDOS(Distributed Denial of Service)***中，***利用其控制的大量肉机对被***者进行***，随着互联网的带宽的增加，DDOS***可以轻易产生若干Gb/s以上的网络流量。导致部分或者全部网络堵塞。
DOS***导致服务器以及网络资源被耗尽，无法提供正常服务甚至崩溃，但是很容易察觉。
DDOS***导致被***服务器所处的部分或者全部网络堵塞，不容易察觉。
DDOS***种类很多，这里介绍网络上最常见的***之一--- SYNFlood***。
SYNFlood***
1、***原理
SYNFlood***属于DDOS***的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。***端（或者肉鸡）在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪，如下图。
技术图片

服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的***者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。
2、预防策略-基于深信服WAF防火墙
我司IDC机房互联网出入口，部署了深信服WAF防火墙，对DDOS***进行探测，拦截和预防。
（1）网络层面：在Dos/DDos防护中定义基于SYN洪水***的防护。设定服务器访问流量包阀值,到达预定阀值将视为SYN洪水***，根据规则将拦截***源IP或自动加入黑名单。

技术图片
（2）系统层面
windows操作系统及时更新最新Service Pack系统补丁。我司IDC机房windows操作系统都安装有360天擎软件，自动更新系统补丁,修复系统漏洞。
最后，网络***并不可怕，可怕的是网络安全意识的不足。随着国家层面对网络安全的日益重视，相关的法规准则也已公布，对整个网络安全行业来说都是前所未有的促进作用。

DDOS***之SYNFlood***原理及预防策略

标签：防火时间 ima 机房更新黑名单允许 timeout ip地址

原文地址：https://blog.51cto.com/12651443/2425709

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行