黑客入门知识之SYN攻击原理分析
目前在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。本文介绍黑客入门知识SYN攻击基本原理、工具及检测方法。
黑客入门知识一、TCP握手协议
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
Backlog参数:表示未连接队列的最大容纳数目。
SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。
半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
黑客入门知识二、SYN攻击原理
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等移动办公OA系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起移动办公oa堵塞甚至系统瘫痪。
黑客入门知识三、SYN攻击工具
SYN攻击实现起来非常的简单,互联网上有大量现成的SYN攻击工具。
1、Windows系统下的SYN工具
以synkill.exe为例,运行工具,选择随机的源地址和源端囗,并填写目标机器地址和TCP端囗,激活运行,很快就会发现目标系统运行缓慢。如果攻击效果不明显,可能是目标机器并未开启所填写的TCP端囗或者防火墙拒绝访问该端囗,此时可选择允许访问的TCP端囗,通常,windows系统开放tcp139端囗,UNIX系统开放tcp7、21、23等端囗。
黑客入门知识四、检测SYN攻击
检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击:
# netstat -n -p TCP tcp 0 0 10.11.11.11:23124.173.152.8:25882 SYN_RECV - tcp 0 0 10.11.11.11:23236.15.133.204:2577 SYN_RECV - tcp 0 0 10.11.11.11:23127.160.6.129:51748 SYN_RECV - tcp 0 0 10.11.11.11:23222.220.13.25:47393 SYN_RECV - tcp 0 0 10.11.11.11:23212.200.204.182:60427 SYN_RECV - tcp 0 0 10.11.11.11:23232.115.18.38:278 SYN_RECV - tcp 0 0 10.11.11.11:23239.116.95.96:5122SYN_RECV - tcp 0 0 10.11.11.11:23236.219.139.207:49162 SYN_RECV - ... 上面是在LINUX系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态),源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。
我们也可以通过下面的命令直接查看在LINUX环境下某个端囗的未连接队列的条目数:
#netstat -n -p TCP grep SYN_RECV grep :22 wc -l 324
显示TCP端囗22的未连接数有324个,虽然还远达不到系统极限,但应该引起管理员的注意。
上面就是黑客入门知识的介绍,希望网管员通过以上基础知识可以防范黑客的入侵。
【相关阅读】
◆移动oa办公系统维护基础知识:局域网维护技巧
◆四个移动办公OA系统安全策略加强内网安全防护
◆企业移动OA办公系统维护技巧经验谈
◆四大移动办公app管理技巧助力移动oa办公系统
◆移动办公app管理专区
◆网管软件专区
- 1企业移动oa办公系统运维管理不能只是救火
- 2内网移动oa办公系统管理现状及带来的好处
- 3移动办公软件使您可以尽快熟悉软件的使用方法
- 4移动oa办公系统管理维护技巧:局域网网速变慢的原因及解决方法
- 5网管员入门知识:企业中IP地址分配规划
- 6龙湖集团手机OA案例
- 7移动办公OA的接口调用本程序上一层程序为:新闻列表
- 8移动oa办公系统安全策略:五大技能让无线移动oa办公系统更安全
- 9移动oa办公系统管理维护技巧:忘记CMOS密码破解方法
- 10移动oa办公系统管理维护技巧 七招教您管好移动oa办公系统
- 11企业移动oa办公系统管理软件部署要注意的事项
- 12移动oa办公系统管理维护技巧:九招让系统更快更稳定
- 13移动oa办公系统管理技术百花齐放 如何选择移动oa办公系统管理平台
- 14移动oa办公系统管理运维技巧 巧用组策略完成繁琐工作
- 15成功网管员必备:移动oa办公系统管理基础知识
- 16移动中的OA办公系统,不可忽略其移动性
- 17成就企业移动oa办公系统管理基础的五个流程
- 18移动oa办公系统管理维护技巧大解析
- 19求推荐一款适合手机上移动办公的APP?
- 20移动oa办公系统管理员工作要求:扎实的理论与实际经验
- 21企业移动oa办公系统管理系统三大难题解决办法
- 22移动OA办公系统打破了时间和地域的局限
- 23移动oa办公系统管理维护技巧:电子邮件安全策略
- 24移动oa办公系统管理基础知识:理解子网和CIDR
- 25最好的移动办公系统?
- 26企业局域网移动oa办公系统拓扑结构及操作系统详解(二)
- 27移动OA办公的优势
- 28四大移动oa办公系统管理技巧助力移动oa办公系统管理
- 29移动oa办公系统管理维护技巧:七招解决802.11n无线常见问题
- 30管理软件进入移动手机OA办公系统新时代
