SYN(SYNchronous,同步的)是TCP/IP Transmission Control Protocol/InternetProtocol,传输控制协议/因特网互联协议)建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK(ACKnowledgement,确认字符)应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
SYN Flood攻击是一种典型的DDOS (分布式拒绝服务型)攻击。SYN Flood攻击利用的是TCP协议的三次握手过程进行的攻击。
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
在SYN Flood攻击中,攻击者在短时间内发送大量的伪造源IP的SYN包给受害者,受害者会为每个TCP SYN包建立半连接,攻击者传送许多SYN包就是不送"ACK"回到服务器。该连接因此处于半开状态并消耗服务器资源。DDOS攻击的结果是合法用户连接不上服务器。这样大量的半连接,造成很大的系统负担,最终导致系统不能正常工作。
目前针对SYN Flood攻击有很多种防攻击方法,具体包括以下三种:
1.半开连接数检测。实时记录所有客户端向服务器发起的所有半开连接数和完成了握手交互且转变为全连接的半开连接数,二者之差在服务器未受到攻击时会保持在一个相对恒定的范围内。如果未完成的半连接数突然增多,甚至接近服务器的资源分配上限时就可以怀疑此时服务器正受到异常流量的攻击。
2.新建连接速率检测。当恶意客户端向目标服务器发起SYN Flood攻击时,其呈现的结果就是发往服务器的报文会在短时间内大量增加。恶意客户端发向服务器的报文中,一部分是新建连接的报文,一部分是已建立连接的后续数据报文。通过记录每秒新建连接的数量,并与设定的阈值进行比较来判断向目标服务器发起SYN Flood攻击行为是否发生,若达到或超过,则认为攻击行为发生。
3.SYN Cookie。因为前两种方法的缺点很明显,即消耗大量的检测系统资源和存在误报漏报,所以普遍采用SYN Cookie的检测方法。在服务器收到SYN包并返回SYN_ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个Cookie值。在收到TCP ACK包时,TCP服务器在根据那个Cookie值检查这个TCP ACK包的合法性。SYN Cookie检测可以应用于服务器本身的防SYN Flood系统中,也可以应用于防DDOS防火墙中。
高防服务器通过SYN Cookie源认证来防御DDOS攻击,在受到攻击的服务器Victim收到的SYN报文超过设定的阈值后,高防服务器针对SYN报文生成SYN Cookie,作为TCP序列号封装发送SYN_ACK报文给SYN报文发送源,待高防服务器接收的ACK报文验证SYN Cookie通过后,该SYN报文发送源的后续报文由防DDOS服务器透传给Victim。
通过SYN Cookie源认证来抵御DDOS攻击的方法可以应用于防DDOS源认证解决方案中,也可以应用于服务器自身的防SYN flood攻击,还可以应用于防DDOS多核产品中;能够准确迅速地找出攻击者,对服务器进行有效的保护。此外,本发明实施例提供的防DDOS攻击的SYN Cookie源认证方法,同时能够大量节省系统资源,对服务器或客户端的运行速度影响很小,在使用中基本不存在误报漏报情况。
