TCP三次握手與DDOS攻擊原理

 

TCP三次握手與DDOS攻擊原理 做者：冰盾防火牆　網站：www.bingdun.com　日期：2014-12-09   在TCP/IP協議中，TCP協議提供可靠的鏈接服務，採用三次握手創建一個鏈接。      第一次握手：創建鏈接時，客戶端發送syn包(syn=j)到服務器，並進入SYN_SEND狀態，等待服務器確認；      第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時本身也發送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態；      第三次握手：客戶端收到服務器的SYN＋ACK包，向服務器發送確認包ACK(ack=k+1)，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。      完成三次握手，客戶端與服務器開始傳送數據，在上述過程當中，還有一些重要的概念：      未鏈接隊列：在三次握手協議中，服務器維護一個未鏈接隊列，該隊列爲每一個客戶端的SYN包（syn=j）開設一個條目，該條目代表服務器已收到SYN包，並向客戶發出確認，正在等待客戶的確認包。這些條目所標識的鏈接在服務器處於Syn_RECV狀態，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態。      Backlog參數：表示未鏈接隊列的最大容納數目。      SYN-ACK 重傳次數 服務器發送完SYN－ACK包，若是未收到客戶確認包，服務器進行首次重傳，等待一段時間仍未收到客戶確認包，進行第二次重傳，若是重傳次數超過系統規定的最大重傳次數，系統將該鏈接信息從半鏈接隊列中刪除。注意，每次重傳等待的時間不必定相同。      半鏈接存活時間：是指半鏈接隊列的條目存活的最長時間，也即服務從收到SYN包到確認這個報文無效的最長時間，該時間值是全部重傳請求包的最長等待時間總和。有時咱們也稱半鏈接存活時間爲Timeout時間、SYN_RECV存活時間。   DDOS全名是Distribution Denial of service ( 分佈式拒絕服務攻擊),不少DOS攻擊源一塊兒攻擊某臺服務器就組成了DDOS攻擊。DoS的攻擊方式有不少種，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使服務器沒法處理合法用戶的指令。 SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分佈式這一階段發展的時候也經歷了浪裏淘沙的過程。   假設一個用戶向服務器發送了SYN報文後忽然死機或掉線，那麼服務器在發出SYN+ACK應答報文後是沒法收到客戶端的ACK報文的（第三次握手沒法完成），這種狀況下服務器端通常會重試（再次發送SYN+ACK給客戶端）並等待一段時間後丟棄這個未完成的鏈接，這段時間的長度咱們稱爲SYN Timeout，通常來講這個時間是分鐘的數量級（大約爲30秒-2分鐘）；一個用戶出現異常致使服務器的一個線程等待1分鐘並非什麼很大的問題，但若是有一個惡意的攻擊者大量模擬這種狀況，服務器端將爲了維護一個很是大的半鏈接列表而消耗很是多的資源----數以萬計 的半鏈接，即便是簡單的保存並遍歷也會消耗很是多的CPU時間和內存，況且還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上若是服務器的TCP/IP棧不夠強大，最後的結果每每是堆棧溢出崩潰---即便服務器端的系統足夠強大，服務器端也將忙於處理攻擊者僞造的TCP鏈接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率很是之小），此時從正常客戶的角度看來，服務器失去響應，這種狀況咱們稱作：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）