一種SYN Flood DoS攻擊工具的實現

潘鵬志,胡 勇

(四川大學電子信息學院,四川成都610065)

一種SYN Flood DoS攻擊工具的實現

潘鵬志,胡 勇

(四川大學電子信息學院,四川成都610065)

為檢測目標主機是否存在DoS漏洞及承受DoS攻擊的能力,在Linux平臺上實現一個基于SYN Flood的DoS攻擊工具。首先,介紹SYN Flood攻擊原理。然后利用原始套接字結合IP欺騙技術,實現SYN Flood攻擊報文的構造和發送,實現了基于SYN Flood攻擊工具synAttacker。最后,利用synAttacker進行測試,并對測試結果進行分析。測試結果表明synAttacker能夠進行有效的SYN Flood攻擊,可以作為DoS滲透攻擊工具。

SYN Flood攻擊 IP欺騙 滲透攻擊

0 引 言

SYN Flood攻擊是當前最流行的DoS與DDoS攻擊方式之一[1],具有實現簡單、使用方便、追溯攻擊源[2]困難等特點。據綠盟正式發布的《2012綠盟科技威脅態勢報告》[3]顯示,TCP SYN Flood占DDoS攻擊總數的28.9%僅次于HTTP Flood居第二位,因此認識和了解SYN Flood攻擊的原理和具體實現,對于有效識別和防范[4]此類攻擊具有重要意義。

有許多網絡測試工具如HPING[5],HGod[6]通過配置相應的命令選項可以發送特定格式的數據包,間接實現SYN Flood攻擊,但是需要使用者非常熟悉各個命令的含義及命令之間的組合,對滲透測試人員來說不易使用與掌握。文獻[7]在Windows平臺上實現SYN Flood攻擊測試工具,由于Windows XP SP2之后限制了原始套接字的使用,用戶不能構造偽造源IP地址的數據包,發送數據包需要借助Winpcap,libnet之類第三方庫,程序實現復雜、易出錯及不易調試。文中描述了一個基于Linux平臺、利用原始套字并結合IP欺騙技術[8]實現的專門進行SYN Flood滲透攻擊工具synAttacker,在真實網絡環境中的測試結果表明synAttacker可以檢測目標主機是否存在DoS安全漏洞,具有功能專一、操作簡單、不需要借助第三方庫程序實現簡單、效率高等特點,可以作為一種DoS滲透攻擊工具。

1 SYN Flood攻擊原理

1.1 TCP建立連接時的三次握手

TCP是一種面向連接的、可靠的傳輸層協議[9]?？蛻舳薈和服務器端S在傳輸數據之前首先要通過“三次握手”建立連接接,正?！叭挝帐帧边^程如下:

第一次握手:客戶端C向服務器端S發送一個含有SYN標志的連接請求報文,表示請求與服務器建立連接。

第二次握手:服務器端S收到SYN包之后,放入半連接隊列中,并分配資源,然后構造含有SYN+ ACK標志的響應包發送給客戶端,表示已經接受客戶端請求,并等待客戶端的響應。

第三次握手:客戶端C收到服務器端S返回的SYN+ACK報文,向服務器端S發送含有ACK標志的報文,服務器端收到ACK報文后,“三次握手”完成,連接正式建立。

1.2 SYN Flood攻擊原理

在上述“三次握手”過程中,服務器端有兩個重要的處理階段[10]:①第一次握手中,服務器每收到一個連接請求報文,就將其放入半連接隊列,并分配資源;②第二次握手中,服務器端發送SYN+ACK報文之后,若在規定的超時時間之內未收到客戶端響應的ACK報文,服務器端啟用重傳機制,向客戶端重傳SYN+ACK報文,直到收到客戶端的響應報文或達到服務器端設置的重傳次數為止。

SYN Flood攻擊利用上述兩個處理機制:惡意攻擊者向被攻擊的服務器端在短時間內發送大量偽造源IP地址且僅含有SYN標志的TCP連接請求報文。一方面,大量的請求報文會使服務器端半連接隊列迅速溢出,無法響應或延遲響應正常合法的連接請求,并耗費大量系統資源(如帶寬、CPU及主存儲器等);另一方面,因IP地址偽造服務器端永遠收不到客戶端的響應報文,服務器端將不斷重傳SYN+ ACK報文,將耗費大量系統資源及占用大量的網絡帶寬。

2 實現原理及流程

根據以上分析,要實現SYN Flood攻擊需要完成以下兩個工作:一是構造含有偽造源IP地址的TCP連接請求數據包;二是將構造的數據包大量發送到受害主機。synAttacker攻擊測試工具在Linux平臺上利用原始套接字,通過設置IP_HDRINCL套接字選項和調用sendto();函數分別實現上述要求的功能。synAttacker工具實現流程如圖1所示。

圖1 實現流程Fig.1 Implementation process

3 關鍵技術及實現

3.1 創建原始套接字

Linux系統上調用socket(domain,type,protocol);函數,并且指定套接字類型為SOCK_RAW來創建原始套接字,直接使用原始套接字的系統調用實現數據包的發送,與借助第三方庫如WinPcap相比,具有實現簡單、執行效率高、程序清晰易讀及擴展性好等特點。代碼如下:

sendSock=socket(PF_INET,SOCK_RAW,IPPROTO_TCP);

3.2 設置套接字選項

調用setsockopt();函數設置IP_HDRINCL套接字選項,實現自己構造IP首部和TCP首部的功能。代碼如下:

3.3 構造攻擊數據包

實現SYN Flood只需要設置TCP首部中SYN標志,不需要附帶應用層數據,許多實現像HGod默認附帶隨機的應用層數據,增加了數據包長度降低了吞吐量,因此為提高傳輸效率文中只設置TCP報文首部中的SYN標志位,沒有構造應用層數據。為隱蔽攻擊方,躲避追蹤,文中借助random();函數生成隨機偽IP源地址。實現如下:

1)設置源IP地址為隨機偽地址,實現源IP地址的偽造。代碼如下:

2)設置TCP首部SYN標志位為1,構造TCP連接請求數據包。代碼如下:

3.4 發送數據包

將3.3構造的攻擊數據包放入套接字的發送緩沖區,調用sendto();函數向目標主機發送數據包,實現SYN Flood攻擊。代碼如下:

while(1)//不斷循環發送數據包

4 測試結果及分析

利用synAttacker在圖2所示的網絡環境中進行SYN Flood攻擊測試。PC1、PC2和PC3運行syn-Attacker充當攻擊者,S基于80端口提供HTTP服務充當受害者。

圖2 測試環境Fig.2 Testing environment

4.1 測試流程及結果

在PC1、PC2和PC3上運行synAttacker攻擊目標主機S的80端口,通過記錄并對比攻擊前和攻擊過程中攻擊機PC1、PC2和PC3以及受害主機S上的資源使用情況來驗證用synAttacker進行的SYN Flood攻擊是否有效。觀察記錄的項目包括:

1)CPU使用率。

2)TCP活動連接數目,通過netstat-ano-p tcp命令查看TCP連接狀態及數目。

3)網絡使用率。

4)內存使用率。

5)Web訪問情況,測試PC3可否通過瀏覽器訪問S的Web服務器。

受害主機S和單臺攻擊機上各種資源使用情況分別如表1和表2所示。

表1 受害主機狀態Table 1 Status of victim host

表2 單臺攻擊機狀態Table 2 Status of single attacker

4.2 結果分析

由于攻擊機不斷向受害主機發送大量偽造源IP地址的TCP SYN報文,導致受害主機S一方面不斷地接收處理SYN報文并維護大量處于SYNRCVD狀態的TCP連接,另一方面不斷向網絡中發送大量SYN+ACK響應報文,導致TCP半連接隊列迅速溢出、CPU資源和網絡帶寬被急劇占用,后果是不但系統本身運行緩慢還造成系統無法響應和處理正常的網絡請求,而形成拒絕服務。通過表1和表2對比分析可以看出,使用synAttacket攻擊者以較小的資源消耗代價(CPU使用率、內存使用率、網絡使用率)可以達到使受害主機消耗大量的系統資源且無法提供正常服務的目的,說明synAttacker能夠進行有效的攻擊。

實驗環境下僅三臺機器的SYN Flood攻擊就能夠使目標主機消耗大量資源以及提供的服務(80端口HTTP服務)失效,可以推斷,分布式拒絕服務攻擊將對目標網絡與主機造成更大的危害。

5 結 語

在分析SYN Flood攻擊原理的基礎上,實現了一種DoS滲透攻擊工具synAttacker。測試結果表明,synAttacker作為一種SYN Flood DoS滲透攻擊工具可以檢測目標主機是否存在SYN Flood DoS安全漏洞。

[1]蘇劍飛,王景偉.網絡攻擊技術與網絡安全探析[J].通信技術,2010(01):91-93.

SU Jian-fei,WANG Jing-wei.Discussion on Network Security and Attack Techniques[J].Communications Technology,2010(01):91-93.

[2]王乃衛,鄭慧英.針對DoS攻擊的IP跟蹤技術研究[J].信息安全與通信保密,2012(01):103-105.

WANG Nai-wei,ZHENG Hui-ying.Study on IP Tracing Technologies against DoS Attact[J].Information Security and Communications Privacy,012(01):103-105.

[3]綠盟科技.2012綠盟科技威脅態勢報告[EB/OL]. (2013-03-01)[2013-05-20].http://www.nsfocus. com/report/NSFOCUS_Threats_Report_2012.pdf.

NSFOCUS Information Technology Co.Ltd.THREATS 2012 REPORT[EB/OL].(2013-03-01)[2013-05-20].http://www.nsfocus.com/report/NSFOCUS_ Threats_Report_2012.pdf.

[4]禹定臣,夏躍偉,劉金廣.基Linux下DOS攻擊防御防火墻的設計與實現[J],電子測試,2013(05):173-174.

YU Ding-chen,XIA Yue-wei,LIU Jin-guang.Design and Implement of DOS Attacks Defense Firewall on Linux [J].ELECTRONIC TEST,2013(05):173-174.

[5]李紅,劉蘊紅,董策舟.基于ZigBee技術的節水灌溉系統設計[J].現代電子技術,2010(23):207-210.

LI Hong,LIU Yun-hong,DONG Ce-zhou.Design of Watersaving Irrigation System Based On ZigBee Technology[J]. Modern Electronics Technique,2010(23):207-210.

[6]潘燕華,查春霞,張丙凡,等.SYN Flood攻擊防御系統的研究與實現[J].科學技術與工程,2010(01):129-131.

PAN Yan-hua,CHA Chun-xia,ZHANG Bin-fan,et al. Research and Implementation of SYN Flood Attack Defense System[J].Science Technology and Engineering, 2010(01):129-131.

[7]吳棟淦,劉芳.基于WinPcap實現的SYN Flood攻擊[J],福建信息技術教育,2011(01):20-23.

WU Dong-gan,LIU Fang.An implementation of SYN Flood Attack based on Winpcap[J].Fujian Education of Information Technology,2011(01):20-23.

[8]魯恩銘,高建華.原始套接字網絡嗅探器的實現與應用[J],計算機安全,2013(02):23-26.

LU En-ming,GAO Jian-hua.Implementation and Application of Network Sniffers based on Raw Socket[J].Computer Security,2013(02):23-26.

[9]謝希仁.計算機網絡[M].北京:電子工業出版社,2013.

XIE Xi-reng.Computer Networks[M].Beijing:Publishing Houseof Electronics Industry,2013.

[10]李德全.拒絕服務攻擊[M].北京:電子工業出版社, 2007.

LI De-quan.Denial of Service Attack[M].Beijing:Publishing House of Electronics Industry,2000.

潘鵬志(1987—),男,碩士研究生,主要研究方向為信息系統安全;

PAN Peng-zhi(1987-),male,graduate student,majoring in information system security.

胡 勇(1973—),男,博士,副教授,主要研究方向為信息系統安全,風險評估。

HU Yong(1973-),male,Ph.D.,associate professor,mainly engaged in information system security and risk assessment.

An Implementation of DoS Attack Tool based on SYN Flood

PAN Peng-zhi,HU Yong
(Electronic and Information College,Sichuan University,Chengdu Sichuan 610065,China)

In order to detect the DoS vulnerability and assess the DoS attack-withstanding ability of target machine,a SYN Flood-based attack tool is implemented on Linux.The principle of SYN Flood attack is discussed in this paper,and meanwhile a SYN Flood-based attack tool called synAttacker is realized by using IP spoofing and raw socket.Finally,test on SYN Flood attack with synAttacker is done,and the test results indicate that synAttacker is fairly effective in SYN Flood attack and can be used as a DoS attacking tool.

SYN Flood attack;IP spoofing;penetration attack

TP309

A

1002-0802(2014)01-0102-04

10.3969/j.issn.1002-0802.2014.01.020