基于IP緩存的SYN Flooding防御技術

韓立明

摘？要：DDOS攻擊是當今互聯網一種比較重要的安全威脅，而SYN?Flooding是DDOS攻擊中最常使用的幾種網絡攻擊方式之一。本文先分析了兩種主流的防SYN?Flooding技術的優點和不足之處，然后引入IP地址緩沖技術，克服了這些方法的不足，從而提高防御SYN?Flooding的效率。

關鍵詞：同步洪攻擊;SYN?Cache;SYN?Cookie;IP緩存

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1003-5168（2019）32-0015-03

IP?Cache?based?Syn?Flooding?Defense?Technology

HAN?Liming

（Tongliao?Vocational?College，Tongliao?Inner?Mongolia?028000）

Abstract：?DDOS?attack?is?one?of?the?most?important?security?threats?in?the?Internet?nowadays，?and?SYN?Flooding?is?one?of?the?most?common?network?attacks?in?the?DDOS.?This?paper?first?analyzed?the?advantages?and?disadvantages?of?two?main?anti-SYN?Flooding?technologies，?and?then?introduced?IP?address?buffer?technology?to?overcome?the?shortcomings?of?these?methods，?so?as?to?improve?the?efficiency?of?anti-SYN?Flooding.

Keywords：?sync?flood?attack;SYN?Cache;SYN?Cookie;IP?Cache

當今時代，幾乎所有的Internet服務都建立在TCP/IP協議族之上，包括http、ftp、e-mail等。這些服務的可用性依賴于下層傳輸層協議（TCP）的性能[1]。但是，目前存在一種嚴重威脅TCP性能的攻擊，即SYN?Flooding。正常情況下，服務器收到一個SYN段，其認為遠程主機要建立一個TCP連接，操作系統分配一定的資源來記錄這種狀態。通過快速持續的發送SYN段，攻擊者很快耗盡主機資源，甚至使其死機。

服務器可以通過改變自身資源分配策略來緩解SYN?Flooding帶來的沖擊。一種辦法是先分配盡量少的資源，待到連接完全建立后再分配全部的資源（SYN?Cache）;另一種辦法是不在服務器保留任何狀態信息，而返回的SYN/ACK包的ISN中包含一個用密碼加密的信息（SYN?Cookies）[2-4]。這兩種方法都有其優點和不足。為了克服兩種方法的不足，本文引進IP緩存技術，該技術充分發揮了兩種方法的長處，有效避免了其缺點，同時還能有效找到部分攻擊源。

1 SYN?Flooding、SYN?Cookies和SYN?Cache

SYN?Flooding攻擊是利用TCP協議三次握手（見圖1）連接建立過程沒有對連接請求進行合法性驗證的缺陷而設計的攻擊方式。當收到一個SYN時，服務器就分配一定的內存、計時器等資源來記錄這種半打開狀態。SYN?Flooding攻擊的目標是用大量無用的SYN段占用服務的資源，使其不能向合法的連接提供服務。……