TCP連接耗盡攻擊與防御

TCP是面向連接的協議，其通信雙方必須保持連接狀態，并且通過確認、重傳、滑動窗口等機制，保證數據傳輸的可靠性和穩定性。攻擊者利用 TCP 的上述特點，利用TCP連接消耗被攻擊目標的系統資源。

連接耗盡攻擊是指攻擊者通過僵尸網絡，向服務器發起大量的 TCP 連接，耗盡服務器的 TCP 連接資源。連接耗盡一般有以下幾種攻擊類型：

• 完成三次握手后，不發送任何報文，一直維持這些 TCP 連接。

• 完成三次握手后，立刻發送 FIN 或 RST 報文，釋放本端連接，同時快速發起新的連接。

• 連接過程中呈現給服務器端很小的 TCP windows size，導致服務器 TCP 協議棧資源耗盡。

• 發送大量 TCP 重傳請求，以很小的流量即可導致被攻擊網絡上行鏈路擁塞。

針對此攻擊會耗盡服務器的 TCP 連接資源的特點， Anti-DDoS 設備對目的 IP 地址的新建連接速率和并發連接數分布進行統計，當新建連接速率或并發連接數大于閾值時，則觸發對源 IP 地址的相應檢查：

• ?源?IP 地址新建連接速率檢查：啟動源 IP 地址新建連接速率檢查后，如果某個源P 地址在檢查周期內發起的 TCP 新建連接數大于閾值，則將該源 IP 地址判定為攻擊源。

• ?源?IP 地址并發連接數檢查：啟動源 IP 地址并發連接數檢查后，如果某個源 IP 地址的 TCP 并發連接數大于閾值，則將該源 IP 地址判定為攻擊源。

• ?慢速連接速率檢查：啟動慢速連接速率檢查后，統計同一源 IP 地址對同一目的 IP址的連接次數，在各統計時間間隔內，如果連續多次連接數相同，則判定為TCP 慢速連接攻擊。

• 異常會話檢查：如果在檢查周期內，某個源 IP 地址發起的 TCP 異常會話的連接數大于閾值時，則將該源 IP 地址判定為攻擊源。判定 TCP 異常會話依據如下：

空連接檢查：如果在檢查周期內，在某條 TCP 連接上通過的報文數小于閾值，則判定該連接為異常連接。

重傳會話檢查：當某條?TCP?連接上重傳報文數量大于閾值時，則判定該連接為異常連接。

慢啟動連接檢查：當某條?TCP?連接上通過的報文窗口小于閾值時，則判定該連接為異常連接。

當檢查發現異常時，將異常源?IP?地址加入黑名單，切斷其?TCP?流量。

TCP異常報文攻擊與防御

TCP報文標志位包括URG、 ACK、 PSH、 RST、 SYN、 FIN六位，其代表不同的含義，標志位的值置為1，表示該標志位起作用。

• URG：置1時表示緊急指針有效。

• ACK：置1時表示確認序號有效。

• PSH：置1時表示接收方收到數據段后應該盡快送到應用程序。

• RST：置1時表示重新建立連接。

• SYN：置1時表示發起一個連接。

• FIN：置1時表示發送方完成發送任務，釋放連接。

這6個標志位在TCP交互過程中各司其職，標志位置必須嚴格遵循TCP規范。如果不遵循規范隨意將標志位置0或置1，這類報文稱為TCP異常報文。接收方處理這些異常報文時會消耗系統資源，甚至可能會導致系統崩潰。攻擊者也可以利用TCP異常報文來發起DDoS攻擊，向被攻擊目標發送大量構造的TCP異常報文，導致被攻擊目標系統資源耗盡、網絡擁塞，無法正常提供服務。

下圖給出了 Anti-DDoS 系統判定 TCP 異常報文的原則，通過這些檢查項，AntiDDoS系統可以全面準確地防御TCP異常報文攻擊。

總結

以上是生活随笔為你收集整理的TCP连接耗尽攻击异常报文攻击与防御的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。