SYN Flood攻擊防范技術白皮書

1、SYN Flood攻擊防范技術白皮書關鍵詞：SYN Flood ，SYN Cookie，Safe Reset摘要：本文主要介紹了H3C防火墻為保護服務器免受SYN Flood攻擊采用的防范技術的原理和應用。縮略語：縮略語英文全名中文解釋DMZDe-Militarized Zone非軍事區(qū)域TCBTransmission Control Block傳輸控制塊TCPTransmission Control Protocol傳輸層控制協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景

2、 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術優(yōu)點 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 技術實現(xiàn) HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 SYN Flood攻擊檢測技術 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 半開連接數(shù)檢測 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 新建連接速率檢測 HYPERLINK l _boo

3、kmark4 7 HYPERLINK l _bookmark5 SYN Flood攻擊防范技術 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 阻斷新建連接 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark7 釋放無效連接 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark7 SYN Cookie技術 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark9 Safe Reset技術 HYPERLINK l _bookm

4、ark9 12 HYPERLINK l _bookmark10 典型組網(wǎng)應用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 SYN Cookie典型組網(wǎng)應用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 Safe Reset典型組網(wǎng)應用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark11 SYN Flood攻擊防范綜合組網(wǎng)應用 HYPERLINK l _bookmark11 15概述產(chǎn)生背景SYN Flood攻擊是一種通過向目標服務器

5、發(fā)送SYN報文，消耗其系統(tǒng)資源，削弱目標服務器的服務提供能力的行為。一般情況下，SYN Flood攻擊是在采用IP源地址欺騙行為的基礎上，利用TCP連接建立時的三次握手過程形成的。眾所周知，一個TCP連接的建立需要雙方進行三次握手，只有當三次握手都順利完成之后，一個TCP連接才能成功建立。當一個系統(tǒng)（稱為客戶端）請求與另一個提供服務的系統(tǒng)（稱為服務器）建立一個TCP連接時，雙方要進行以下消息交互：客戶端向服務器發(fā)送一個 SYN 消息；如果服務器同意建立連接，則響應客戶端一個對 SYN 消息的回應消息（SYN/ACK）；客戶端收到服務器的 SYN/ACK 以后，再向服務器發(fā)送一個 ACK 消息進

6、行確認。分配TCB資源分配TCB資源ServerClientSYN,sequence=x當服務器收到客戶端的ACK消息以后，一個TCP的連接成功完成。連接的建立過程如 HYPERLINK l _bookmark0 圖1所示：ACK=y+1SYN,sequence=y,ACK=x+1圖1 TCP連接的建立在上述過程中，當服務器收到SYN報文后，在發(fā)送SYN/ACK回應客戶端之前，需要分配一個數(shù)據(jù)區(qū)記錄這個未完成的TCP連接，這個數(shù)據(jù)區(qū)通常稱為TCB資源，此時的TCP連接也稱為半開連接。這種半開連接僅在收到客戶端響應報文或連接超時后才斷開，而客戶端在收到SYN/ACK報文之后才會分配TCB資源，因

7、此這種不對稱的資源分配模式會被攻擊者所利用形成SYN Flood攻擊。圖2 SYN Flood攻擊原理圖如 HYPERLINK l _bookmark1 圖2所示，攻擊者使用一個并不存在的源IP地址向目標服務器發(fā)起連接，該服務器回應SYN/ACK消息作為響應，由于應答消息的目的地址并不是攻擊者的實際地址，所以這個地址將無法對服務器進行響應。因此，TCP握手的最后一個步驟將永遠不可能發(fā)生，該連接就一直處于半開狀態(tài)直到連接超時后被刪除。如果攻擊者用快于服務器TCP連接超時的速度，連續(xù)對目標服務器開放的端口發(fā)送SYN報文，服務器的所有TCB資源都將被消耗，以至于不能再接受其他客戶端的正常連接請求。為

8、保證服務器能夠正常提供基于TCP協(xié)議的業(yè)務，防火墻必須能夠利用有效的技術瓦解以及主動防御SYN Flood攻擊。技術優(yōu)點H3C在SYN Flood 攻擊防范技術的實現(xiàn)上具有以下四個方面的特色。支持基于安全區(qū)域的配置方式H3C實現(xiàn)的SYN Flood攻擊防范支持基于安全區(qū)域的配置方式，所有攻擊檢測策略均配置在安全區(qū)域上，配置簡潔又不失靈活性，既降低網(wǎng)絡管理員配置負擔，又能滿足復雜組網(wǎng)情況下針對安全區(qū)域實施不同攻擊防范策略的要求。提供豐富的告警日志信息H3C實現(xiàn)的SYN Flood攻擊防范功能可提供豐富的告警日志信息，可以與第三方軟件配合使用，其日志和審計功能不僅能夠針對攻擊進行實時監(jiān)測，還能對攻

9、擊的歷史日志進行方便的查詢和統(tǒng)計分析，便于對攻擊事件進行有效的跟蹤和追查。精確阻斷攻擊流量H3C實現(xiàn)的SYN Flood攻擊防范功能采用基于行為模式的異常檢測算法對目標服務器的網(wǎng)絡流量進行檢測，通過實時跟蹤TCP服務器連接的狀態(tài)機協(xié)商過程，能夠有效區(qū)分攻擊流量和正常流量，從而精確阻斷攻擊流量。提供靈活的防范措施針對SYN Flood攻擊，H3C防火墻提供了靈活的防范措施，可根據(jù)用戶的實際需要，選擇對攻擊行為進行日志輸出、報文丟棄、啟用SYN Cookie防護功能、啟用Safe Reset防護功能、通知服務器釋放無效半開連接等防范動作。技術實現(xiàn)在Internet上，公共服務器是SYN Flood

10、攻擊實施的主要對象。Internet上任何客戶端向某個特定的公共服務器發(fā)起訪問時，其目的IP地址必定是公共服務器對外公開的IP地址。H3C防火墻通過攻擊檢測技術，統(tǒng)計和分析向公共服務器發(fā)起的所有連接的行為特征，來檢測和識別攻擊報文。在檢測到針對服務器的SYN Flood攻擊行為后，H3C防火墻可以支持選擇多種應對攻擊的防范措施，主要包括兩大類：連接限制技術：采用 SYN Flood 攻擊防范檢測技術，對網(wǎng)絡中的新建 TCP 半開連接數(shù)和新建 TCP 連接速率進行實時檢測，通過設置檢測閾值來有效地發(fā)現(xiàn)攻擊流量，然后通過阻斷新建連接或釋放無效連接來抵御 SYN Flood 攻擊。連接代理技術：采用

11、 SYN Cookie 或 Safe Reset 技術對網(wǎng)絡中的 TCP 連接進行代理，通過精確的驗證來準確的發(fā)現(xiàn)攻擊報文，實現(xiàn)為服務器過濾掉惡意連接報文的同時保證常規(guī)業(yè)務的正常運行。連接代理技術除了可以對已檢測到攻擊的服務器進行代理防范，也可以對可能的攻擊對象事先配置，做到全部流量代理，而非攻擊發(fā)生后再代理，這樣可以避免攻擊報文已經(jīng)造成一定損失。SYN Flood攻擊檢測技術根據(jù)統(tǒng)計對象的不同特征，SYN Flood攻擊檢測可分為兩種類型：半開連接數(shù)檢測、新建連接速率檢測。半開連接數(shù)檢測原理介紹當惡意客戶端向目標服務器發(fā)起SYN Flood 攻擊時，如果惡意客戶端采用了仿冒的源IP，那么在目

12、標服務器上會存在大量半開連接。這類半開連接與正常的半開連接的區(qū)別在于，正常半開連接會隨著客戶端和服務器端握手報文的交互完成而轉變成全連接，而仿冒源IP的半開連接永遠不會完成握手報文的交互。SYN SYN/ACK SYN SYN/ACKSYNSYN/ACK SYN SYN/ACK SYNSYN/ACK SYN SYN/ACK半開連接數(shù)閾值SYNServerFirewallClient為有效區(qū)分仿冒半開連接和正常半開連接，防火墻就需要實時記錄所有客戶端向服務器發(fā)起的所有半開連接數(shù)和完成了握手交互且轉變?yōu)槿B接的半開連接數(shù)，二者之差（即未完成的半連接數(shù)）在服務器未受到攻擊時會保持在一個相對恒定的范圍

13、內。如果未完成的半連接數(shù)突然增多，甚至接近服務器的資源分配上限時就可以懷疑此時服務器正受到異常流量的攻擊。圖3 半開連接數(shù)檢測示意圖如 HYPERLINK l _bookmark3 圖3所示，管理員可以根據(jù)被保護服務器的處理能力設置半開連接數(shù)閾值。如果服務器無法處理客戶端所有連接請求，就會導致未完成的半開連接數(shù)（即客戶端向服務器發(fā)起的所有半開連接數(shù)和完成了握手交互變成全連接的半開連接數(shù)之差）超過指定閾值，此時防火墻可以判定服務器正在遭受SYN Flood 攻擊。應用限制半開連接數(shù)統(tǒng)計要求防火墻能夠記錄客戶端到服務器端的所有連接狀態(tài)。即，客戶端和服務器端的報文都需要經(jīng)過防火墻處理。因此，基于半開

14、連接數(shù)的統(tǒng)計檢測需要防火墻部署在所保護的服務器出口和入口的關鍵路徑上。新建連接速率檢測原理介紹當惡意客戶端向目標服務器發(fā)起SYN Flood攻擊時，不管惡意客戶端采用仿冒源IP 手段還是使用真實的客戶端，其呈現(xiàn)的結果就是發(fā)往服務器的報文會在短時間內大量增加。惡意客戶端發(fā)向服務器的報文中，一部分是新建連接的報文，一部分是已建立連接的后續(xù)數(shù)據(jù)報文。H3C防火墻通過記錄每秒新建連接的數(shù)量，并與設定的閾值進行比較來判斷向目標服務器發(fā)起SYN Flood攻擊行為是否發(fā)生，若達到或超過，則認為攻擊行為發(fā)生。圖4 新建連接速率檢測示意圖如 HYPERLINK l _bookmark4 圖4所示，在對被保護服

15、務器進行監(jiān)測時，防火墻在一秒的時間間隔內統(tǒng)計客戶端向服務器發(fā)起的新建連接請求數(shù)量，作為當前的新建請求速率。當新建連接請求速率超過指定閾值時，防火墻設備可以認為服務器可能遭受了SYN Flood攻擊。應用限制新建連接數(shù)統(tǒng)計要求防火墻能夠記錄客戶端到服務器端的所有新建連接個數(shù)。即， 客戶端發(fā)往服務器端的報文必須要經(jīng)過防火墻處理。因此，基于新建連接數(shù)的統(tǒng)計檢測需要防火墻部署在所保護的服務器入口的關鍵路徑上。SYN Flood攻擊防范技術H3C防火墻可以支持選擇多種應對攻擊的防范措施，主要包括以下四種技術：阻斷新建連接通過隨時阻斷服務器處理能力之外的新建連接來減輕服務器的被攻擊程度。釋放無效連接通過在

16、攻擊發(fā)生后通知服務器釋放無效連接來協(xié)助服務器及時恢復服務能力。SYN Cookie 和 Safe Reset通過驗證發(fā)起連接的客戶端的合法性，使服務器免受 SYN Flood 攻擊。這兩種技術適用于不同的組網(wǎng)需求。阻斷新建連接原理介紹實際上，最簡單的防范方法就是暫時阻止任何客戶端向服務器發(fā)起的新建連接請求。阻斷新建連接的時機是由SYN Flood攻擊檢測發(fā)現(xiàn)攻擊決定的，只要防火墻發(fā)現(xiàn)連接數(shù)閾值（半開連接數(shù)閾值、新建連接數(shù)閾值）被超過時，就開始阻斷新建連接來防范攻擊行為。關于SYN Flood攻擊檢測技術的詳細介紹請參見“ HYPERLINK l _bookmark2 2.1 HYPERLINK

17、 l _bookmark2 SYN HYPERLINK l _bookmark2 Flood攻擊檢測技術”。下面是分別通過兩種檢測技術發(fā)現(xiàn)攻擊后的連接阻斷處理過程。半開連接數(shù)限制如 HYPERLINK l _bookmark6 圖5所示，防火墻檢測到客戶端與服務器之間的當前半開連接數(shù)目超過半開連接數(shù)閾值時，所有后續(xù)的新建連接請求報文都會被丟棄，直到服務器完成當前的半開連接處理，或當前的半開連接數(shù)降低到安全閾值時，防火墻才會放開限制，重新允許客戶端向服務器發(fā)起新建連接請求。SYN SYN/ACK SYN SYN/ACKSYNSYN/ACK SYN SYN/ACK SYNSYN/ACK SYN S

18、YN/ACK半開連接數(shù)閾值SYN丟棄報文ServerFirewallClient圖5 半開連接數(shù)限制示意圖新建連接數(shù)限制如 HYPERLINK l _bookmark6 圖6所示，防火墻對新建連接報文的速率進行統(tǒng)計，只允許新建連接速率不超過閾值情況下的新建連接報文通過，超過閾值之后的新建連接報文都被丟棄。直到每秒客戶端向服務器發(fā)起的連接請求降低到安全閾值以下時，防火墻才會放開限制， 重新允許客戶端向服務器發(fā)起新建連接請求。圖6 新建連接速率限制示意圖應用限制阻斷新建連接功能為防火墻檢測到SYN Flood攻擊后的基本處理手段。在服務器受到SYN Flood攻擊時，防火墻能在服務器處理新建連接報

19、文之前將其阻斷，削弱了網(wǎng)絡攻擊對服務器的影響，但無法在服務器被攻擊時有效提升服務器的服務能力。因此，該功能一般用于配合防火墻SYN Flood攻擊檢測，避免瞬間高強度攻擊使服務器系統(tǒng)崩潰。釋放無效連接原理介紹正如 HYPERLINK l _bookmark3 2.1.1 HYPERLINK l _bookmark3 半開連接數(shù)檢測中所描述，當服務器上的半開連接過多時，其正在處理的半開連接中可能存在惡意客戶端仿冒源IP發(fā)起的無效連接。為了不讓仿冒源IP發(fā)起的無效連接占用服務器的資源，防火墻需要在所有半開連接中識別出無效連接， 通知服務器釋放這這些無效連接。防火墻通過模擬無效連接的五元組信息（源I

20、P地址、目的IP地址、源端口號、目的端口號、協(xié)議類型），向服務器發(fā)送RST報文（連接重置報文）通知服務器釋放無效連接。應用限制釋放無效連接功能是一種防火墻檢測到攻擊后的基本處理手段，在服務器受到SYN Flood攻擊的情況下，能夠通知服務器釋放被惡意攻擊報文占用的資源，使服務器得以恢復正常服務。在服務器受到SYN Flood攻擊時，此功能主要用于加速被攻擊服務器的恢復速度，卻無法阻止惡意客戶端繼續(xù)攻擊服務器。因此，該功能一般用于配合防火墻SYN Flood檢測，在攻擊發(fā)生后減輕已發(fā)生的攻擊對服務器的影響。SYN Cookie技術原理介紹SYN Cookie借鑒了HTTP中Cookie的概念。S

21、YN Cookie技術可理解為，防火墻對TCP新建連接的協(xié)商報文進行處理，使其攜帶認證信息（稱之為Cookie），再通過驗證客戶端回應的協(xié)商報文中攜帶的信息來進行報文有效性確認的一種技術。 HYPERLINK l _bookmark8 如圖 HYPERLINK l _bookmark8 7所示，該技術的實現(xiàn)機制是防火墻在客戶端與服務器之間做連接代理，具體過程如下：SYNSYN/ACK（Cookie）ACK分配TCB資源SYNSYN/ACKACKData (x)(7) Data (x)Data (y)Data (y)ServerFirewallClient圖7 防火墻使用SYN Cookie防范

22、SYN Flood攻擊客戶端向服務器發(fā)送一個 SYN 消息。SYN 消息經(jīng)過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYN/ACK 消息。其中，SYN/ACK 消息中的序列號為防火墻計算的 Cookie， 此 Cookie 值是對加密索引與本次連接的客戶端信息（如：IP 地址、端口號）進行加密運算的結果?？蛻舳耸盏?SYN/ACK 報文后向服務器發(fā)送 ACK 消息進行確認。防火墻截取這個消息后，提取該消息中的 ACK 序列號，并再次使用客戶端信息與加密索引計算 Cookie。如果計算結果與 ACK 序列號相符，就可以確認發(fā)起連接請求的是一個真實的客戶端。如果客戶端不回應 ACK 消

23、息，就意味著現(xiàn)實中并不存在這個客戶端，此連接是一個仿冒客戶端的攻擊連接；如果客戶端回應的是一個無法通過檢測的 ACK 消息，就意味著此客戶端非法，它僅想通過模擬簡單的 TCP 協(xié)議棧來耗費服務器的連接資源。來自仿冒客戶端或非法客戶端的后續(xù)報文都會被防火墻丟棄，而且防火墻也不會為此分配 TCB 資源。如果防火墻確認客戶端的 ACK 消息合法，則模擬客戶端向服務器發(fā)送一個SYN 消息進行連接請求，同時分配 TCB 資源記錄此連接的描述信息。此TCB 記錄了防火墻向服務器發(fā)起的連接請求的信息，同時記錄了步驟（2） 中客戶端向服務器發(fā)起的連接請求的信息。服務器向防火墻回應 SYN/ACK 消息。防火墻

24、收到服務器的 SYN/ACK 回應消息后，根據(jù)已有的連接描述信息，模擬客戶端向服務器發(fā)送 ACK 消息進行確認。完成以上過程之后，客戶端與防火墻之間建立了連接，防火墻與服務器之間也建立了連接，客戶端與服務器間關于此次連接的后續(xù)數(shù)據(jù)報文都將通過防火墻進行代理轉發(fā)。防火墻的SYN Cookie技術利用SYN/ACK報文攜帶的認證信息，對握手協(xié)商的ACK 報文進行了認證，從而避免了防火墻過早分配TCB資源。當客戶端向服務器發(fā)送惡意SYN報文時，既不會造成服務器上TCB資源和帶寬的消耗，也不會造成防火墻TCB資源的消耗，可以有效防范SYN Flood攻擊。在防范SYN Flood攻擊的過程中，防火墻作

25、為虛擬的服務器與客戶端交互，同時也作為虛擬的客戶端與服務器交互，在為服務器過濾掉惡意連接報文的同時保證了常規(guī)業(yè)務的正常運行。應用限制由于SYN Cookie技術最終是依靠防火墻對客戶端與服務器之間的所有連接報文進行代理實現(xiàn)的，因此要求防火墻設備必須部署在所保護的服務器入口和出口的關鍵路徑上，保證所有客戶端向服務器發(fā)送的報文以及服務器向客戶端回應的報文都需要經(jīng)過該設備。Safe Reset技術原理介紹Safe Reset技術是防火墻通過對正常TCP連接進行干預來識別合法客戶端的一種技術。防火墻對TCP新建連接的協(xié)商報文進行處理，修改響應報文的序列號并使其攜帶認證信息（稱之為Cookie），再通過

26、驗證客戶端回應的協(xié)商報文中攜帶的信息來進行報文有效性確認。SYNSYN/ACK（Cookie）RST分配TCB資源(4) SYN SYN/ACKACKACKServerFirewallClient防火墻在利用Safe Reset技術認證新建連接的過程中，對合法客戶端的報文進行正常轉發(fā)，對仿冒客戶端以及簡單模擬TCP協(xié)議棧的惡意客戶端發(fā)起的新建連接報文進行丟棄，這樣服務器就不會為仿冒客戶端發(fā)起的SYN報文分配連接資源，從而避免了SYN Flood 攻擊。如 HYPERLINK l _bookmark9 圖8所示，Safe Reset技術的實現(xiàn)過程如下：圖8 防火墻使用Safe Reset防范SY

27、N Flood攻擊客戶端向服務器發(fā)送一個 SYN 消息。SYN 消息經(jīng)過防火墻時，防火墻截取該消息，并模擬服務器向客戶端回應SYN/ACK 消息。其中，SYN/ACK 消息中的 ACK 序列號與客戶端期望的值不一致，同時攜帶 Cookie 值。此 Cookie 值是對加密索引與本次連接的客戶端信息（包括：IP 地址、端口號）進行加密運算的結果?？蛻舳税凑諈f(xié)議規(guī)定向服務器回應 RST 消息。防火墻中途截取這個消息后， 提取消息中的序列號，并對該序列號進行 Cookie 校驗。成功通過校驗的連接被認為是可信的連接，防火墻會分配 TCB 資源記錄此連接的描述信息，而不可信連接的后續(xù)報文會被防火墻丟棄

28、。完成以上過程之后，客戶端再次發(fā)起連接請求，防火墻根據(jù)已有的連接描述信息判斷報文的合法性，對可信連接的所有合法報文直接放行。由于防火墻僅通過對客戶端向服務器首次發(fā)起連接的報文進行認證，就能夠完成對客戶端到服務器的連接檢驗，而服務器向客戶端回應的報文即使不經(jīng)過防火墻也不會影響正常的業(yè)務處理，因此Safe Reset技術也稱為單向代理技術。一般而言，應用服務器不會主動對客戶端發(fā)起惡意連接，因此服務器響應客戶端的報文可以不需要經(jīng)過防火墻的檢查。防火墻僅需要對客戶端發(fā)往應用服務器的報文進行實時監(jiān)控。服務器響應客戶端的報文可以根據(jù)實際需要選擇是否經(jīng)過防火墻， 因此Safe Reset能夠支持更靈活的組網(wǎng)

29、方式。應用限制Safe Reset 技術要求防火墻設備部署在所保護的服務器入口的關鍵路徑上。但僅需保證所有客戶端到服務器報文都必須經(jīng)過該設備，對服務器端發(fā)出的報文是否經(jīng)該設備沒有嚴格要求。從組網(wǎng)要求來看，Safe Reset 比 SYN Cookie 適應性更強。由于防火墻對客戶端發(fā)起的 TCP 連接進行了干預，因此 Safe Reset 技術的實現(xiàn)要求客戶端的實現(xiàn)嚴格遵守 TCP 協(xié)議棧的規(guī)定，如果客戶端的 TCP 協(xié)議棧實現(xiàn)不完善，即便是合法用戶，也可能由于未通過防火墻的嚴格檢查而無法訪問服務器。Safe Reset 技術依賴于客戶端向服務器發(fā)送 RST 報文后再次發(fā)起請求的功能，因此應用 Safe Reset 技術后，客戶端發(fā)起的每個 TCP 連接的建立