虛擬化平臺(tái)下SYN Flooding攻擊研究

◆趙菁

虛擬化平臺(tái)下SYN Flooding攻擊研究

◆趙菁

（北京信息職業(yè)技術(shù)學(xué)院 北京 100018）

本文引入Kali Linux和Windows 2003兩個(gè)虛擬機(jī)構(gòu)造了一個(gè)仿真環(huán)境，采用Kali Linux中自帶的hping3發(fā)起SYN Flooding攻擊，并且使用Wireshark對(duì)攻擊進(jìn)行了分析，最終給出攻擊的防御方法。

DDoS攻擊；SYN Flooding攻擊原理；攻擊的模擬與分析；SYN Flooding攻擊的防御

DDoS攻擊是全世界都面臨的問(wèn)題，幾乎每家公司的服務(wù)器都受到過(guò)不同程度的攻擊。SYN FLOODING攻擊在單純的流量型攻擊中，是作為最常用的攻擊方式，在阿里云安全團(tuán)隊(duì)《2019年上半年DDoS攻擊態(tài)勢(shì)報(bào)告》顯示SYN_Flood占比達(dá)10.59%。DDoS攻擊手段呈現(xiàn)的特點(diǎn)是更加隱蔽復(fù)雜，峰值流量Tb級(jí)攻擊時(shí)代已經(jīng)到來(lái)，研究DDoS攻擊對(duì)該攻擊的防御具有積極意義。本文在討論了DDoS攻擊的原理、種類(lèi)、SYN Flooding攻擊原理的基礎(chǔ)上，搭建了實(shí)驗(yàn)仿真環(huán)境，再現(xiàn)了SYN FLOODING攻擊的情景，并使用Wireshark對(duì)攻擊進(jìn)行了分析，最后提出攻擊的防御方法。

1 拒絕服務(wù)攻擊的相關(guān)理論

1.1 分布式拒絕服務(wù)攻擊

DDoS最初的形式是DoS（Denial of Service）攻擊，DoS攻擊的原理是：通過(guò)消耗網(wǎng)絡(luò)帶寬、系統(tǒng)資源以導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)瀕臨癱瘓甚至完全癱瘓，從而不能提供正常的網(wǎng)絡(luò)服務(wù)或使服務(wù)質(zhì)量顯著降低來(lái)達(dá)到攻擊的目的。

DDoS攻擊即分布式拒絕服務(wù)攻擊（Distributed Denial of Service）。在DoS攻擊中如果處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或多個(gè)目標(biāo)發(fā)起拒絕服務(wù)攻擊，或一個(gè)或多個(gè)攻擊者控制了位于不同位置的多臺(tái)計(jì)算機(jī)，并利用這些計(jì)算機(jī)對(duì)受害者同時(shí)實(shí)施DoS攻擊，則稱(chēng)這種攻擊為DDoS攻擊，它是DoS攻擊最主要的一種形式。

1.2 DDoS的攻擊過(guò)程

DoS是一對(duì)一攻擊。隨著網(wǎng)絡(luò)帶寬、計(jì)算機(jī)性能的高速發(fā)展，類(lèi)似DoS這樣一對(duì)一的攻擊已經(jīng)起不了什么作用了，于是DDoS—分布式拒絕服務(wù)攻擊誕生了，其原理和DoS相同，不同之處在于DDoS攻擊是多對(duì)一進(jìn)行攻擊。具體過(guò)程是：黑客首先掃描Internet上的主機(jī)，發(fā)現(xiàn)存在漏洞的主機(jī)，然后在其上安置代理程序，從而攻占傀儡機(jī)，進(jìn)而通過(guò)這些傀儡機(jī)，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的攻擊，成倍地提高拒絕服務(wù)攻擊的威力，在同一時(shí)間以DoS攻擊的方式攻擊一臺(tái)服務(wù)器，最終導(dǎo)致被攻擊的服務(wù)器癱瘓。

1.3 DDoS攻擊的種類(lèi)

DDoS攻擊的種類(lèi)包括：Http Flooding攻擊、SYN Flooding攻擊、UDP Flooding攻擊、DNS Flooding攻擊等等，本文主要介紹SYN Flooding攻擊的原理與防御方法。

1.4 SYN Flooding攻擊原理

1.4.1 TCP三次握手的過(guò)程

TCP的連接建立是一個(gè)三次握手過(guò)程，目的是為了通信雙方確認(rèn)開(kāi)始序號(hào)，以便后續(xù)通信的有序進(jìn)行。主要步驟如下：

（1）連接開(kāi)始時(shí)，連接建立方（Client）發(fā)送SYN包，并包含了自己的初始序號(hào)a；

（2）連接接受方（Server）收到SYN包以后會(huì)回復(fù)一個(gè)SYN包，其中包含了對(duì)上一個(gè)a包的回應(yīng)信息ACK，回應(yīng)的序號(hào)為下一個(gè)希望收到包的序號(hào)，即a＋1，然后還包含了自己的初始序號(hào)b；

（3）連接建立方（Client）收到回應(yīng)的SYN包以后，回復(fù)一個(gè)ACK包做響應(yīng)，其中包含了下一個(gè)希望收到包的序號(hào)即b＋1。

1.4.2什么是SYN Flooding

SYN Flooding攻擊是DDoS的一種形式，它利用TCP協(xié)議存在的半連接缺陷，發(fā)送大量虛假的TCP SYN報(bào)文（連接請(qǐng)求），但對(duì)服務(wù)器的TCP SYN+ACK應(yīng)答報(bào)文（連接響應(yīng)）不做應(yīng)答，即三次握手的第三次握手（對(duì)響應(yīng)的響應(yīng)）無(wú)法完成。在這種情況下，服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶(hù)端）并等待一段時(shí)間（稱(chēng)為SYN Timeout，分鐘級(jí)，大約為0.5至2分鐘）后丟棄這個(gè)未完成的連接（稱(chēng)為“半連接”，放在半連接表中），如果一個(gè)惡意的攻擊者大量發(fā)出這種請(qǐng)求，則服務(wù)器將會(huì)為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。一般系統(tǒng)中，半連接數(shù)的上限為1024，超過(guò)此限制則不接受新的連接請(qǐng)求，此時(shí)從正常客戶(hù)的角度看，服務(wù)器失去響應(yīng)了。此外，對(duì)服務(wù)器的性能也會(huì)有很大的影響。

2 模擬SYN Flooding攻擊

2.1 在kali linux上使用hping3開(kāi)始SYN泛洪攻擊

在kali linux中打開(kāi)一個(gè)終端，然后輸入：root@kali：~# hping3 -q -n --rand-source -S -p 80 --flood 192.168.203.200，攻擊就開(kāi)始了。

2.2 在kali linux上使用wireshark抓包

從圖1可以看到，kali linux偽造了大量的源IP地址和源port，對(duì)測(cè)試機(jī)（IP：192.168.203.200）發(fā)送了TCP三次握手中的SYN包，進(jìn)行了SYN泛洪攻擊。

3 使用Wireshark分析SYN Flooding攻擊

直接查看wireshark抓到的包不是很直觀，可以使用wireshark提供的統(tǒng)計(jì)功能的流量圖來(lái)查看，如圖2所示。在wireshark的菜單欄中：統(tǒng)計(jì)->流量圖。

圖1 使用wireshark抓到SYN泛洪攻擊包

圖2 wireshark中的流向圖

從這個(gè)流量圖中可以看到大量偽造的隨機(jī)源地址只向目標(biāo)主機(jī)發(fā)送了一個(gè)SYN請(qǐng)求。并且可以看到每一個(gè)包的流向，為抓包方便上圖是在kali linux上的截圖，所以無(wú)法看到SYN+ACK包從80端口發(fā)出去（需要在測(cè)試機(jī)上使用wireshark抓包）。在流量圖中可以看到兩點(diǎn)，一是短時(shí)間出現(xiàn)了大量的數(shù)據(jù)包，二是這些數(shù)據(jù)包并沒(méi)有后續(xù)。

4 SYN Flooding攻擊的防御

TCP SYN Flooding的防御一般有以下方式：

（1）丟棄第一個(gè)SYN包

TCP SYN泛洪攻擊發(fā)送的SYN包，一般每個(gè)偽造源IP只會(huì)發(fā)送一個(gè)SYN包，所以丟棄每個(gè)源IP地址對(duì)應(yīng)的第一個(gè)SYN包可以達(dá)到避免泛洪攻擊的目的。

缺點(diǎn)是用戶(hù)體驗(yàn)比較差，因?yàn)檎５挠脩?hù)請(qǐng)求始終要發(fā)送兩次SYN包才能成功建立TCP連接。當(dāng)泛洪攻擊每一個(gè)SYN包發(fā)送兩次時(shí)，這種防御方式就失效了。

（2）反向探測(cè)

當(dāng)收到某個(gè)SYN包時(shí)，服務(wù)器不會(huì)直接返回SYN+ACK包，而是先發(fā)送一個(gè)用于反向探測(cè)的SYN包來(lái)確定源IP和端口的合法性（即是否在線，對(duì)面返回SYN+ACK）。如果對(duì)方合法，服務(wù)器再回復(fù)正確的SYN+ACK包。

（3）代理模式

使用防火墻代理與來(lái)源地址進(jìn)行TCP連接，當(dāng)正常建立連接后，防火墻再和后面的服務(wù)器進(jìn)行連接，并代理業(yè)務(wù)數(shù)據(jù)。

5 總結(jié)

SYN Flooding攻擊可以利用TCP協(xié)議的缺陷對(duì)目標(biāo)服務(wù)器發(fā)起攻擊，以造成被攻擊目標(biāo)拒絕服務(wù)的嚴(yán)重后果。本文通過(guò)搭建仿真環(huán)境模擬了攻擊過(guò)程，為了更好地了解網(wǎng)絡(luò)攻擊的詳情，利用Wireshark的流向圖功能繪制出了TCP端點(diǎn)之間的數(shù)據(jù)流，更直觀地分析了SYN Flooding攻擊。通過(guò)丟棄第一個(gè)SYN包、反向探測(cè)和設(shè)置代理模式幾種方式可以有效地防御SYN Flooding攻擊。

[1]陶濤. SYN 洪泛攻擊原理及其防范策略[J].電腦知識(shí)與技術(shù)，2012.

[2]劉雙強(qiáng). SYN Flooding攻擊原理與防御措施[J]. 電腦知識(shí)與技術(shù)，2009.