TCP原理篇之连接耗尽攻击异常报文攻击
在前面的两篇贴子中,我们逐一介绍了利用TCP各种报文进行的Flood类攻击,以及华为Anti-DDoS解决方案的应对措施。由于TCP协议的重要性,攻击者们绞尽脑汁寻找协议可利用的弱点,针对TCP的攻击手段花样繁多。本篇我们就来介绍另外两种攻击方式:TCP连接耗尽攻击和TCP异常报文攻击。
0x01 TCP连接耗尽攻击与防御
TCP是面向连接的协议,通信双方必须保持连接状态,并且通过确认、重传、滑动窗口等机制,保证数据传输的可靠性和稳定性。攻击者利用TCP协议的上述特点,在TCP连接上做文章,利用TCP连接来消耗被攻击目标的系统资源,这类攻击的影响也不容小觑。
例如,攻击者与被攻击目标完成三次握手后,立刻发送FIN或RST报文,释放本端连接,同时快速发起新的连接,以此来消耗被攻击目标的系统资源。华为Anti-DDoS解决方案通过检查新建连接的速率来防御此类攻击。首先,针对受保护目标进行统计,当受保护目标的TCP新建连接速率超过阈值时,启动防御功能。然后针对源进行统计,如果某个源IP在指定的时间间隔内发起的TCP新建连接数超过了阈值,则将该源IP加入黑名单。
又比如,攻击者与被攻击目标完成三次握手后,发送很少的报文来维持连接状态,通过这种异常的TCP连接来消耗被攻击目标的系统资源。华为Anti-DDoS解决方案通过异常会话检查来防御此类攻击。如果受保护目标的TCP连接上特定时间内通过的报文数小于阈值,则认为该连接为异常会话。如果在特定时间内某个源IP的异常会话数超过阈值,则将该源IP加入黑名单。
除此之外,攻击者还会使用一些其他的攻击手段,比如构造大量的并发连接、设置很小的TCP窗口、发送重传报文等,其目的都是消耗被攻击目标的系统资源。总体来说,华为Anti-DDoS解决方案防御此类攻击时,还是基于会话机制,通过新建连接速率检查、并发连接数检查、异常会话检查等措施,将攻击源加入黑名单,阻断攻击流量达到防御效果。
0x02 TCP异常报文攻击与防御
TCP报文头中存在六个标志位字段,代表不同的含义,标志位的值置为1,表示该标志位起作用。我们在前面介绍TCP连接建立和断开过程时,提到过SYN、ACK和FIN标志位,下面是这六个标志位的详细信息:
URG:置1时表示紧急指针有效。
ACK:置1时表示确认序号有效。
PSH:置1时表示接收方收到数据段后应该尽快送到应用程序。
RST:置1时表示重新建立连接。
SYN:置1时表示发起一个连接。
FIN:置1时表示发送方完成发送任务,释放连接。
这六个标志位在TCP交互过程中各司其职,标志位置1与否必须严格遵循TCP协议规范。如果不遵循规范随意将标志位置0或置1,这类报文就称为TCP异常报文。接收方处理这些异常报文时会消耗系统资源,甚至可能会导致系统崩溃。攻击者也可以利用TCP异常报文来发起DDoS攻击,向被攻击目标发送大量的构造的TCP异常报文,导致被攻击目标系统资源耗尽、网络拥塞,无法正常提供服务。
华为Anti-DDoS解决方案通过检查TCP报文是否符合协议规范来防御异常报文攻击。例如,正常情况下TCP报文中六个标志位的值不可能都置为0。Anti-DDoS系统检查发现此类异常报文后,就直接将报文丢弃。
又比如,SYN标志位用来建立连接,FIN标志位用来断开连接,正常情况下同一个TCP报文中SYN和FIN标志位不可能同时置为1。同样,Anti-DDoS系统检查发现此类异常报文后,直接丢弃报文。
下面给出了Anti-DDoS系统判定TCP异常报文的原则,通过这些检查项,Anti-DDoS系统可以全面准确的防御TCP异常报文攻击。
针对TCP协议的DDoS攻击和防御原理至此都介绍完毕了,希望通过华安的讲解,能够让大家对这类攻击方式有进一步的了解。华安解密DDoS攻防系列的盛宴还未结束,后面将为大家呈上更丰富的Anti-DDoS组网方案大餐,请大家继续关注和支持华安。
TCP原理篇之连接耗尽攻击异常报文攻击相关推荐
- TCP连接耗尽攻击异常报文攻击与防御
TCP连接耗尽攻击与防御 TCP是面向连接的协议,其通信双方必须保持连接状态,并且通过确认.重传.滑动窗口等机制,保证数据传输的可靠性和稳定性.攻击者利用 TCP 的上述特点,利用TCP连接消耗被攻击 ...
- DDOS攻防之TCP原理篇之SYN Flood
TCP协议的SYN Flood攻击,这种攻击方式虽然原始,但是生命力顽强,长久以来在DDoS圈里一直处于德高望重的地位.SYN Flood攻击的影响也不容小觑,从攻击事件中可以看到,以SYN Floo ...
- 针对DDoS攻击异常流量攻击统计
基本目标 时发现异常的流量攻击事件,并且自动上报清洗平台,完成流量清洗 攻击检测 Syn flood 基于检测对象,对pps做汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型.起始时间.流量大小 ...
- 网络原理 | TCP/IP中的连接管理机制 重要协议与核心机制
应用层.传输层.网络层.数据链路层.物理层 一.应用层协议 应用层 是程序猿最最经常打交道的一层 其他四层,都是操作系统.驱动.硬件,实现好了的,咱们不需要管 (除非你是系统工程师,驱动开发工程师-- ...
- Linux数据链路tcp失败,TCP连接中的异常断开情况处理
1.TCP连接中可能出现的异常断开情况 假设存在这样一种情况:在两个不同的主机Machine1.Machine2系统上分别运行两个应用程序Application1.Application2,在Appl ...
- 网络安全——网络攻击原理(嗅探攻击、截获攻击、拒绝服务攻击)
摘要: 网络攻击是导致网络安全威胁的主要原因,嗅探攻击.截获攻击.拒绝服务攻击等是常见的网络攻击.网络攻击和网络安全是矛盾的两个方面,但是了解网络攻击手段可以帮助我们更好地保护网络安全.嗅探攻击是被动 ...
- CC攻击原理及防范方法和如何防范CC攻击
一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数 ...
- TCP原理,Socket与网络编程入门
TCP原理,Socket与网络编程入门 开篇 从互联网的诞生以来,网络程序逐渐普及.计算机网络将各个计算机连接到一起使它们可以通信.在现代,网络已成为我们十分重要的一部分.这次不搞些费脑子的东西,就让 ...
- Dos攻击与DDos攻击原理与区别,怎么防护?
Dos攻击与DDos攻击原理与区别,怎么防护? 1.原理: 1)DOS(Denial of Service)攻击,即拒绝服务,其主要危害是使计算机或网络无法提供正常的服务. 常见的DOS攻击手段有Te ...
最新文章
- GRUB引导另一个主分区
- java无法实例化类型_java – 无法实例化泛型中的类型
- node 压缩图片_为了你安全压缩图片我操碎了心
- 04_Pytorch生态、PyTorch能做什么、PyTorch之Autograd、autograd案例、GPU加速案例
- 模块-开发原则以及导入文件时会执行没有缩进的代码
- SAP官方到底提供了免费的S4HANA试用版没有?
- ASP.NET小收集:Word的编码是Unicode
- 虚拟专题:知识图谱 | 事件图谱的构建、推理与应用
- 使用Spring Boot搭建HelloWorld Web页面(含HTTP协议分析)
- 第二阶段冲刺第八天,6月7日。
- android 程序错乱,android – 安装时应用程序崩溃,错误sqlite3_...
- 用差分法求解burger方程 matlab,偏微分方程数值解上机实验.doc
- Win10家庭版安装VMware虚拟机-开启时出现蓝屏的问题
- 线性变换(1)——不变子空间
- ofo的智能锁初代方案:声波频率识别开锁
- 数据结构之2-3-4树与2-3树
- 为什么计算机连接不上打印机,为什么电脑连接打印机后却没反应
- 让心灵插上翅膀自由飞翔——之北戴河
- 阅读源码-理解torch.utils.data、torch.utils.data.Dataset、torch.utils.data.DataLoader的工作方式
- 亚马逊广告接口 amazon advert api 申请流程
热门文章
- IROS2021 自动驾驶文章汇总
- 设备树学习(二十六、番外篇-中断子系统之CMWQ概述[2])
- bitnami-redmine-SVN-Apache
- 内存管理课后题(汤子赢第三版)
- 可验证延迟函数(Verifiable Delay Function)recursive length prefix递归长度前缀
- Win7 x64下内核池溢出覆盖配额进程指针(Quota Process Pointer Overwrite)
- C++课设《个人通讯录管理系统》
- 使用vagrant一键安装rackspace openstack private cloud
- 工作1年多 感慨外包和超小型自研公司
- 连续波调频测距matlab,基于三角波线性调频连续波雷达的高速目标测速测距方法与流程...