分类: LINUX
2011-05-17 17:58:29
SYN Flood是当前网络上流行的DoS(拒绝服务攻击Denial of Service)与DdoS(分布式拒绝服务攻击)的方式之一,它利用了TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(网卡/CPU/内存等资源满负荷不足)。
为了明白这种SYN Flood的攻击基本原理,我们先说说TCP连接建立的过程:
我们知道,TCP与UDP不同,它是基于可靠连接的,即为了在服务端和客户端之间传送TCP数据,必须先建立一个可靠的虚拟电路--TCP连接。建立TCP连接的标准过程是这样的:
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
以上的连接过程就是我们常说的TCP协议三次握手(Three-way Handshake)。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端,重试次数分别为3-15次不等)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
明白了原理,我们从防御角度来看,简单的解决方法就有这几种:
第一种是缩短SYN Timeout时间,由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。
第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。但有一些参数需要协调配置,才会取到作用,否则会导致另外的问题。
防SYN Flood做得比较好,建议统一使用下面这些参数,并将其放入/etc/rc.local中:
sysctl -w net.ipv4.conf.eth0.accept_source_route=0
sysctl -w net.ipv4.conf.lo.accept_source_route=0
sysctl -w net.ipv4.conf.default.accept_source_route=0
sysctl -w net.ipv4.conf.all.accept_source_route=0
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.conf.eth0.secure_redirects=1
sysctl -w net.ipv4.conf.lo.secure_redirects=1
sysctl -w net.ipv4.conf.default.secure_redirects=1
sysctl -w net.ipv4.conf.all.secure_redirects=1
sysctl -w net.ipv4.conf.eth0.accept_redirects=0
sysctl -w net.ipv4.conf.lo.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.eth0.send_redirects=0
sysctl -w net.ipv4.conf.lo.send_redirects=0
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
sysctl -w net.ipv4.tcp_tw_reuse=1
sysctl -w net.ipv4.tcp_tw_recycle=1
sysctl -w net.ipv4.tcp_fin_timeout=20
#sysctl -w net.ipv4.tcp_fin_timeout=30
sysctl -w net.ipv4.tcp_keepalive_time=1800
sysctl -w net.ipv4.tcp_syn_retries1=1
sysctl -w net.ipv4.tcp_synack_retries=1
sysctl -w net.core.wmem_max=8388608
sysctl -w net.core.rmem_max=8388608
sysctl -w net.ipv4.tcp_rmem="4096 873814 8738140"
sysctl -w net.ipv4.tcp_wmem="4096 873814 8738140"
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
ifconfig eth0 txqueuelen 1000
但上述的方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法可能用处不大。要防御大规模,高密度的SYN攻击,一个有效的办法使用F5/Alteon等负载均衡设备,采用超过3台服务器的集群来对抗,即:
VIP(F5/Alteon等)--REAL IP1,REAL IP2,REAL IP3....
一方面,负载均衡设备的高效连接管理可以应对一些SYN Flood攻击,同时多台服务器的包处理能力大大增强,结合每台服务器改善的SYN Flood处理能力,完全可以应对这种大规模、高密度的SYN Flood攻击。
-------------------------------------------------------------------
SYN_RECV状态
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_synack_retries
5 #重试默认5次,间隔时间3s\6s\12s\24s\48s
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog
1024 #默认建立1024个连接,约占用128M 内存。
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_syncookies
1 #在半连接池128M内存被耗尽的时候打开
192.9.202.72:
[root@localhost ~]# iptables -t nat -I POSTROUTING -d 192.9.202.70 -p tcp --dport 80 -j SNAT --to 1.1.1.1
[root@localhost ~]# telnet 192.9.202.70 80
192.9.202.70:
[root@localhost ~]# tcpdump -i eth0 -n host 1.1.1.1 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:55:37.215569 IP 1.1.1.1.53605 > 192.9.202.70.http: S 2461931235:2461931235(0) win 5840
10:55:37.218559 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
10:55:41.615174 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
10:55:47.614938 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
10:55:59.615154 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
10:56:23.818740 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
10:57:12.023970 IP 192.9.202.70.http > 1.1.1.1.53605: S 2520932405:2520932405(0) ack 2461931236 win 5792
[root@localhost ~]# netstat -a | grep http
tcp 0 0 192.9.202.70:http 1.1.1.1:43990 SYN_RECV
tcp 0 0 *:http *:* LISTEN
