海之美文新闻资讯
SYN
SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连线时使用的握手信号。在客户机和伺服器之间建立正常的TCP网路连线时,客户机首先发出一个SYN讯息,伺服器使用SYN+ACK应答表示接收到了这个讯息,最后客户机再以ACK讯息回响。这样在客户机和伺服器之间才能建立起可靠的TCP连线,数据才可以在客户机和伺服器之间传递。
TCP连线的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常回响。
基本介绍
- 中文名:同步序列编号
- 外文名:Synchronize Sequence Numbers
- 英文缩写:SYN
- 英文名:synchronous
- 词语分类:计算机专业术语
- 解释:TCP/IP建立连线时使用的握手信号
- 用途:黑客的一种攻击手法
- 攻击性质:DDoS攻击的一种
攻击性质
在黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。
SYN攻击属于DDoS攻击的一种,它利用TCP协定缺陷,通过传送大量的半连线请求,耗费CPU和记忆体资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网路系统,事实上SYN攻击并不管目标是什幺系统,只要这些系统打开TCP服务就可以实施。伺服器接收到连线请求(syn= j),将此信息加入未连线伫列,并传送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当伺服器未收到客户端的确认包时,重发请求包,一直到逾时,才将此条目从未连线伫列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP位址,向伺服器不断地传送syn包,伺服器回复确认包,并等待客户的确认,由于源地址是不存在的,伺服器需要不断的重发直至逾时,这些伪造的SYN包将长时间占用未连线伫列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网路堵塞甚至系统瘫痪。
攻击原理
关于SYN攻击防範技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协定栈防範
SYN Flood利用TCP协定缺陷,传送了大量伪造的TCP连线请求,使得被攻击方资源耗尽,无法及时回应或处理正常的服务请求。一个正常的TCP连线需要三次握手,首先客户端传送一个包含SYN标誌的数据包,其后伺服器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才完成TCP连线。在伺服器端传送应答包后,如果客户端不发出确认,伺服器会等待到逾时,期间这些半连线状态都保存在一个空间有限的快取伫列中;如果大量的SYN包发到伺服器端后没有应答,就会使伺服器端的TCP资源迅速耗尽,导致正常的连线不能进入,甚至会导致伺服器的系统崩溃。
攻击器
SYN攻击实现起来非常的简单,网际网路上有大量现成的SYN攻击工具。
windows系统下的SYN工具
以synkill.exe为例,运行工具,选择随机的源地址和源连线埠,并填写目标机器地址和TCP连线埠,激活运行,很快就会发现目标系统运行缓慢。如果攻击效果不明显,可能是目标机器并未开启所填写的TCP连线埠或者防火墙拒绝访问该连线埠,此时可选择允许访问的TCP连线埠,通常,windows系统开放tcp139连线埠,UNIX系统开放tcp7、21、23等连线埠。
检测攻击
检测SYN攻击非常的方便,当你在伺服器上看到大量的半连线状态时,特别是源IP位址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:
# netstat -n -p TCP
tcp 0 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV -
tcp 0 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV -
tcp 0 0 10.11.11.11:23 222.220.13.25:47393 SYN_RECV -
tcp 0 0 10.11.11.11:23 212.200.204.182:60427 SYN_RECV -
tcp 0 0 10.11.11.11:23 232.115.18.38:278 SYN_RECV -
tcp 0 0 10.11.11.11:23 239.116.95.96:5122 SYN_RECV -
tcp 0 0 10.11.11.11:23 236.219.139.207:49162 SYN_RECV -
...
上面是在LINUX系统中看到的,很多连线处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP位址都是随机的,表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连线伫列的条目数:
#netstat -n -p TCP | grep SYN_RECV | grep :22 | wc -l
324
显示TCP端囗22的未连线数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。
防範技术
关于SYN攻击防範技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协定栈防範
注册表设定
在“开始->运行->键入regedit”
启用 SYN 攻击保护的命名值位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters之下。值名称:SynAttackProtect。推荐值:2。
以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters 之下。
指定必须在触发 SYN flood 保护之前超过的 TCP 连线请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。
启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连线阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。
启用 SynAttackProtect 后,指定至少传送了一次重传的 SYN_RCVD 状态中的 TCP 连线阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400
丰富频宽资源
不难看出syn攻击时消耗大量频宽资源,所以要想防御syn洪水攻击,一个丰富的频宽资源是非常有必要的,通常的流量攻击,攻击者也是利用肉鸡的频宽资源来堵死目标网路的,所以这个也是一个重要的防御前提。
防火墙
利用防火墙来进行防护攻击是目前最有效的方法,当然前提是攻击在防护频宽範围之内,也就是为什幺第二条推荐频宽资源,这是保证在防火墙前面不会造成堵塞,来达到防火墙的防护目的。