防火墻防止DDOS SYN Flood原理詳細介紹
DoS(Denial of Service拒絕服務)和DDoS(Distributed Denial of Service分布式拒絕服務)攻擊是大型網(wǎng)站和網(wǎng)絡服務器的安全威脅之一。2000年2月�����,Yahoo�、亞馬遜、CNN被攻擊等事例����,曾被刻在重大安全事件的歷史中。SYN Flood由于其攻擊效果好�����,已經(jīng)成為目前最流行的DoS和DDoS攻擊手段��。 SYNFlood利用TCP協(xié)議缺陷�,發(fā)送了大量偽造的TCP連接請求,使得被攻擊方資源耗盡�,無法及時回應或處理正常的服務請求。一個正常的TCP連接需要三次握手����,首先客戶端發(fā)送一個包含SYN標志的數(shù)據(jù)包,其后服務器返回一個SYN/ACK的應答包�����,表示客戶端的請求被接受�,最后客戶端再返回一個確認包ACK,這樣才完成TCP連接��。在服務器端發(fā)送應答包,如果客戶端不發(fā)出確認����,服務器會等待到超時,期間這些半連接狀態(tài)都保存在一個空間有限的緩存隊列中�����;如果大量的SYN包發(fā)到服務器端后沒有應答����,就會使服務器端的TCP資源迅速耗盡,導致正常的連接不能進入�,甚至會導致服務器的系統(tǒng)崩潰。
防火墻通常用于保護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的非授權訪問�,它位于客戶端和服務器之間,因此利用防火墻來阻止DoS攻擊能有效地保護內(nèi)部的服務器���。針對SYN Flood��,防火墻通常有三種防護方式:SYN網(wǎng)關��、被動式SYN網(wǎng)關和SYN中繼�����。
SYN網(wǎng)關防火墻收到客戶端的SYN包時��,直接轉發(fā)給服務器��;防火墻收到服務器的SYN/ACK包后�����,一方面將SYN/ACK包轉發(fā)給客戶端����,另一方面以客戶端的名義給服務器回送一個ACK包����,完成TCP的三次握手,讓服務器端由半連接狀態(tài)進入連接狀態(tài)����。當客戶端真正的ACK包到達時,有數(shù)據(jù)則轉發(fā)給服務器�����,否則丟棄該包���。由于服務器能承受連接狀態(tài)要比半連接狀態(tài)高得多�,所以這種方法能有效地減輕對服務器的攻擊。
被動式SYN網(wǎng)關設置防火墻的SYN請求超時參數(shù)��,讓它遠小于服務器的超時期限�����。防火墻負責轉發(fā)客戶端發(fā)往服務器的SYN包��,服務器發(fā)往客戶端的SYN/ACK包����、以及客戶端發(fā)往服務器的ACK包。這樣����,如果客戶端在防火墻計時器到期時還沒發(fā)送ACK包,防火墻則往服務器發(fā)送RST包���,以使服務器從隊列中刪去該半連接���。由于防火墻的超時參數(shù)遠小于服務器的超時期限,因此這樣能有效防止SYN Flood攻擊。
SYN中繼防火墻在收到客戶端的SYN包后�����,并不向服務器轉發(fā)而是記錄該狀態(tài)信息然后主動給客戶端回送SYN/ACK包�����,如果收到客戶端的ACK包����,表明是正常訪問�,由防火墻向服務器發(fā)送SYN包并完成三次握手。這樣由防火墻做為代理來實現(xiàn)客戶端和服務器端的連接��,可以完全過濾不可用連接發(fā)往服務器�。
