SYN-cookie 和地址狀態監控
1.SYN-cookie技術
一般情況下,當伺服器收到一個TCP SYN報文後,馬上為該連線請求分配緩衝區,然後返回一個SYN+ACK報文,這時形成一個半連線。SYN Flood正是利用了這一點,傳送大量的偽造源地址的SYN連線請求,而不完成連線。這樣就大量的消耗的伺服器的資源。
SYN-cookie技術針對標準TCP連線建立過程資源分配上的這一缺陷,改變了資源分配的策略。當伺服器收到一個SYN報文後,不立即分配緩衝區,而是利用連線的資訊生成一個cookie,並將這個cookie作為將要返回的SYN+ACK報文的初始序列號。當客戶端返回一個ACK報文時,根據包頭資訊計算cookie,與返回的確認序列號(初始的序列號+1)的前24位進行對比,如果相同,則是一個正常連線,然後,分配資源,建立連線。
該技術的巧妙之點在於避免了在連線資訊未完全到達前進行資源分配,使SYN Flood攻擊的資源消耗失效。實現的關鍵之處在於cookie的計算。cookie的計算應該做到包含本次連線的狀態資訊,使攻擊者不能偽造cookie。cookie的計算過程如下:
1)伺服器收到一個SYN包後,計算一個訊息摘要mac: mac = MAC(A,k); MAC是密碼學中的一個訊息認證碼函式,也就是滿足某種安全性質的帶金鑰的hash函式,它能夠提供cookie計算中需要的安全性。
A為客戶和伺服器雙方的IP地址和埠號以及引數t的串聯組合:
A = SOURCE_IP || SOURCE_PORT || DST_IP || DST_PORT || t
K為伺服器獨有的金鑰;
時間引數t為32位元長的時間計數器,每64秒加1;
2)生成cookie:
cookie = mac(0:24):表示取mac值的第0到24位元位;
3)設定將要返回的SYN+ACK報文的初始序列號,設定過程如下:
i. 高24位用cookie代替;
ii. 接下來的3位元位用客戶要求的最大報文長度MMS代替;
iii. 最後5位元位為t mod 32。
客戶端收到來自伺服器SYN+ACK報文後,返回一個ACK報文,這個ACK報文將帶一個cookie(確認號為伺服器傳送過來的SYN ACK報文的初始序列號加1,所以不影響高24位),在伺服器端重新計算cookie,與確認號的前24位比較,如果相同,則說明未被修改,連接合法,然後,伺服器完成連線的建立過程。
SYN-cookie技術由於在連線建立過程中不需要在伺服器端儲存任何資訊,實現了無狀態的三次握手,從而有效的防禦了SYN Flood攻擊。但是該方法也存在一些弱點。由於cookie的計算只涉及了包頭的部分信心,在連線建立過程中不在伺服器端儲存任何資訊,所以失去了協議的許多功能,比如,超時重傳。此外,由於計算cookie有一定的運算量,增加了連線建立的延遲時間,因此,SYN-cookie技術不能作為高效能伺服器的防禦手段。通常採用動態資源分配機制,當分配了一定的資源後再採用cookie技術,Linux就是這樣實現的。還有一個問題是,當我們避免了SYN Flood攻擊的同時,同時也提供了另一種拒絕服務攻擊方式,攻擊者傳送大量的ACK報文,使伺服器忙於計算驗證。儘管如此,在預防SYN Flood攻擊方面,SYN-cookie技術仍然是一種有效的技術。
2.地址狀態監控
地址狀態監控的解決方法是利用監控工具對網路中的有關TCP連線的資料包進行監控,並對監聽到的資料包進行處理。處理的主要依據是連線請求的源地址。
每個源地址都有一個狀態與之對應,總共有四種狀態:
初態:任何源地址剛開始的狀態;
NEW狀態:第一次出現或出現多次也不能斷定存在的源地址的狀態;
GOOD狀態:斷定存在的源地址所處的狀態;
BAD狀態:源地址不存在或不可達時所處的狀態;
具體的動作和狀態轉換根據TCP頭中的位碼值決定。
1)監聽到SYN包,如果源地址是第一次出現,則置該源地址的狀態為NEW狀態;如果是NEW狀態或BAD狀態;則將該包的RST位置1然後重新發出去,如果是GOOD狀態不作任何處理。
2)監聽到ACK或RST包,如果源地址的狀態為NEW狀態,則轉為GOOD狀態;如果是GOOD狀態則不變;如果是BAD狀態則轉為NEW狀態;如果是BAD狀態則轉為NEW狀態。
3)監聽到從伺服器來的SYN ACK報文(目的地址為addr),表明伺服器已經為從addr發來的連線請求建立了一個半連線,為防止建立的半連線過多,向伺服器傳送一個ACK包,建立連線,同時,開始計時,如果超時,還未收到ACK報文,證明addr不可達,如果此時addr的狀態為GOOD則轉為NEW狀態;如果addr的狀態為NEW狀態則轉為BAD狀態;如果為addr的狀態為BAD狀態則不變。
下面分析一下基於地址狀態監控的方法如何能夠防禦SYN Flood攻擊。
1)對於一個偽造源地址的SYN報文,若源地址第一次出現,則源地址的狀態為NEW狀態,當監聽到伺服器的SYN+ACK報文,表明伺服器已經為該源地址的連線請求建立了半連線。此時,監控程式代源地址傳送一個ACK報文完成連線。這樣,半連線佇列中的半連線數不是很多。計時器開始計時,由於源地址是偽造的,所以不會收到ACK報文,超時後,監控程式傳送RST資料包,伺服器釋放該連線,該源地址的狀態轉為BAD狀態。之後,對於每一個來自該源地址的SYN報文,監控程式都會主動傳送一個RST報文。
2)對於一個合法的SYN報文,若源地址第一次出現,則源地址的狀態為NEW狀態,伺服器響應請求,傳送SYN+ACK報文,監控程式傳送ACK報文,連線建立完畢。之後,來自客戶端的ACK很快會到達,該源地址的狀態轉為GOOD狀態。伺服器可以很好的處理重複到達的ACK包。
從以上分析可以看出,基於監控的方法可以很好的防禦SYN Flood攻擊,而不影響正常使用者的連線。
3. 小結
本文介紹了SYN Flood攻擊的基本原理,然後詳細描述了兩種比較有效和方便實施的防禦方法:SYN-cookie技術和基於監控的源地址狀態技術。SYN-cookie技術實現了無狀態的握手,避免了SYN Flood的資源消耗。基於監控的源地址狀態技術能夠對每一個連線伺服器的IP地址的狀態進行監控,主動採取措施避免SYN Flood攻擊的影響。這兩種技術是目前所有的防禦SYN Flood攻擊的最為成熟和可行的技術。