SYN泛洪攻击(THE SYN FLOOD ATTACK)
我们已经看到在讨论TCP三次握手的时候,服务器分配并初始化变量和缓冲区以响应收到的SYN,然后服务器发送一个SYNACK作为响应,并等待一个来自客户端的ACK报文段。如果客户端没有发送一个ACK来完成三次握手的第三步,最终(通常一分钟或更久以后)服务器会终止这个半开的连接并收回分配的资源。
这个TCP连接管理协议为一种典型的被称为SYN泛洪攻击的拒绝服务攻击(DoS)提供了舞台。在这个攻击中,攻击者发送大量的TCP SYN报文段,不完成第三次握手的步骤。随着SYN报文段的大量涌入,服务器的连接资源在分配给(但从未使用)半开连接时会耗尽。然后合法的用户就被拒绝服务了。幸运的是,一种称为SYN cookie的有效防御现在已部署在大多数主要的操作系统中。SYN cookie 的工作原理如下:
-
当服务器收到SYN报文段时,他不知道该段是来自合法用户还是属于SYN泛洪攻击的一部分。因此,服务器不会为此SYN创建半开连接,而是创建初始TCP序列号,该序列号是由一个复杂的散列函数将 源和目标的IP地址和SYN报文段中的端口号,以及只有该服务器知道的secret number,作为输入得到的。这个精心设计的初始序列号就是所谓的“cookie”。服务器然后向客户端发送带有这个特殊序列号的SYNACK报文段。重要的是服务器不用记住cookie或者与SYN相对应的任何状态和信息。
cookie = hash(src_ip, dest_ip, src_port, dest_port, secret_number)
合法的客户端将返回ACK报文段。当服务器收到此ACK时,它必须验证ACK是否与之前发送的某些SYN相对应。但是服务器并没有记住SYN报文段,这怎么办?正如你可能已经猜到的那样,他是通过cookie完成的。回想一下,对于合法的ACK,确认字段中的值等于SYNACK中的初始序列号(本例中为cookie值)加一。然后,服务器可以使用ACK中的源和目标IP地址和端口号和secret number运行相同的散列函数。如果函数的结果加1与客户端的ACK中的确认字段的值相同,则服务器断定ACK段与之前的SYN段时相对应的,因此是有效的。然后服务器会创建一个完全打开的连接。
另一方面,如果客户端没有返回ACK段,那么原始SYN没有对服务器造成任何伤害,因为服务器没有分配任何资源来响应原始的加SYN。
P257
Computer Networking Top-down Approach Sixth Edition