Chinaunix首页 | 论坛 | 博客
  • 博客访问: 339593
  • 博文数量: 103
  • 博客积分: 2510
  • 博客等级: 少校
  • 技术积分: 1590
  • 用 户 组: 普通用户
  • 注册时间: 2007-08-05 16:04
个人简介

高高山上立,深深海底行

文章分类

全部博文(103)

文章存档

2011年(5)

2009年(6)

2008年(92)

我的朋友

分类: 系统运维

2008-03-03 09:37:01

 

rabit 发表于 2006-3-30 8:45:29

TCP是面向连接的,所谓面向连接,就是当计算机双方通信时必需先建立连接,然后数据传送,最后拆除连接三个过程

 

并且TCP在建立连接时又分三步走:

第一步是请求端(客户端)发送一个包含SYN即同步(Synchronize)标志的TCP报文,SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号;

第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。

第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。 然后才开始通信的第二步:数据处理。

这就是所说的TCP三次握手(Three-way Handshake)。

简单的说就是:(C:客户端,S:服务端)

C:SYN到S

S:如成功--返回给C(SYN+ACK)

C:如成功---返回给S(ACK)

以上是正常的建立连接方式,但如下:

假设一个C向S发送了SYN后无故消失了,那么S在发出SYN+ACK应答报文后是无法收到C的ACK报文的(第三次握手无法完成),这种情况下S一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个C出现异常导致S的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,S将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果S的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使S的系统足够强大,S也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟C的正常请求比率非常之小),此时从正常客户的角度看来,S失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。

以上的例子常被称作DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)

注意:其中这儿的C和S都是相对的,对于现在的计算机来讲,只要自己的计算机建立任一服务,在一定情况下都可被称为S

 

解决办法:在你的计算机上安装防火墙

个人防火墙一般我们可采用学习模式来让防火墙自己来进行分析。

 

阅读(660) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~