应用指南:利用网络设备防范TCP SYN攻击
易管天下 www.egtx.net 来源:网摘
简介:TCP是网络连接过程中主机发送的第一个包,其非常小,但是又非常的关键。SYN攻击就是大量利用这些包。由于这些包往往无法有效进行处理,但是主机或者网络设备无法有效辨别。他们往往需要对每个这种类型的包花费几 ...
TCP是网络连接过程中主机发送的第一个包,其非常小,但是又非常的关键。SYN攻击就是大量利用这些包。由于这些包往往无法有效进行处理,但是主机或者网络设备无法有效辨别。他们往往需要对每个这种类型的包花费几秒钟时间进行尝试,然后才会放弃提供正常响应。一个包几秒钟时间,但是,若包多的话,就会企业网络带来毁灭性的打击。
从本质上来说,SYN攻击是DOS攻击的一种,他主要利用TCP协议缺陷,通过发送大量的半连接请求(TCP数据包),耗费主机或者网络设备的CPU与内存资源。SYN攻击其范围比较广,不仅可以对普通的主机、服务器产生不利影响,而且也会影响到网络中间设备,如路由器、交换机等等。通常情况下,只要网络设备或者主机采用了TCP协议,就可能成为SYN攻击的受害者。
IP欺骗与SYN攻击是一对好搭档。配合IP欺骗,SYN攻击往往可以取得很好的效果。如某个攻击者可以在利用工具在几秒钟时间内,伪造大量的不存在的IP地质,向某个目标对象不断发送数据包,服务器回复确认包,并等待客户的确认。,由于源地址是虚假的,不存在的地址,服务器就会不断的重法确认直到超时为止。这些伪造的包将长时间占用未连接队列,正常的连接请求反而无法响应,被丢弃。从而可能就会导致网络拥塞。
既然SYN攻击这么严重,那么能否有效杜绝SYN攻击呢?可惜的是,到现在为止,还没有哪个专家说,可以彻底的杜绝SYN攻击。因为这是TCP协议的先天性缺陷,难以治疗。我们网络管理员现在可以做的就是如何想方设法,限制其的不利影响。如笔者现在最常用的措施,就是通过各种手段,让其不影响企业的关键设备,如服务器、路由器等等。
一、通过防火墙代理限制其对服务器的影响
通常情况下,出于安全的考虑,我们会把服务器放在防火墙的一侧。在建立TCP连接时,通过防火墙实现代理。TCP代理相当于客户端和目的服务器间的中间服务器。当某个客户端要访问服务器的资源时,这个客户端不是直接连接到服务器,而是先连接到防火墙这个代理服务器上,然后这个代理服务器再替客户端去访问服务器。代理服务器把从服务器中反馈回来的信息转发给客户端。所以,从某个角度上来讲,防火墙代理服务器对于服务器来说,是一个客户端,但是,对于真正的客户端来说,又是一合格服务器。防火墙可以检查传入的TCP连接请求,然后执行TCP代理的功能。如果防火墙判断传入的连接请求时伪造的话,则防火墙就可以采取一定的措施来防止它对防火墙一侧服务器的影响。
如笔者企业现在有一个ERP应用服务,其为全国各地的销售办事处提供数据上的支持。若这个服务器瘫痪的话,则全国各地的销售业务都会受到不同程度的影响。如商品的调拨等等将无法完成。由于存在大量的网外用户,笔者很难保证全国各地的用户主机都是安全的。本着安全至上的原则,就在ERP应用服务器与互联网之间设置了防火墙,并启用了防火墙代理功能,来限制SYN的攻击,示意图如下:
1、当互联网上的某个客户端需要访问ERP服务器时,会先发起一个TCP连接。此时,客户端不是直接与ERP服务器进行通信,而是跟防火墙代理服务器进行通信。如此的话,就可以隐藏ERP服务器的真实地址,从而防止外部不良人员对ERP服务器进行攻击。
2、防火墙代理接收到客户端的SYN连接请求时,就会把这个请求转发给内部的ERP服务器。此时,防火墙代理就充当了客户端的角色。当防火墙代理取得用户想要的信息之后,就会把这个信息反馈给客户端。此时,防火墙代理充当了ERP服务器的角色。
