win7和Linux下如何防御SYNFLOOD攻击.docxVIP

分别讨论在windows和Linux操作系统中可以采用何种策略防御SYN Flood攻击？Windows的SYN攻击保护机制Windows中针对于SYN攻击的防范．就是通过调整TCP/IP协议栈来实现的。正常情况下，操作系统对TCP连接的一些重要参数有一个常规的设置．如：SYN Timeout时间、SYN+ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化．可以给用户提供方便快捷的服务。一旦系统受到攻击．就需要启动保护机制，防止系统崩溃。正常情况下．Windows系统的TCP协议栈工作的机制是Windows操作系统响应正常的TCP请求(SYN请求)，服务器收到SYN包，必须确认客户的SYN，同时自己也发送一个SYN+ACK包．此时服务器进入SYN_RECEIVED状态。Windows第一次重传之前等待时问默认为3秒，服务器发送完SYN+ACK包，如果未收到客户确认包。服务器进行重传，默认重传5次，总超时时间需要3分钟。TCP协议栈开辟了一个比较大的内存空间backlog队列来存储半连接条目．如果重传次数超过系统规定的最大重传次数．系统才将该连接信息从半连接队列中删除。当SYN请求不断增加并占满了这个空间，致使系统丢弃后面的SYN连接。为防范SYN攻击．Windows系统的TCP协议栈内嵌了SynAttackProtect机制，Windows2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项。增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接。以达到防范SYN攻击的目的。SynAttackProtect机制的启动，系统根据TcpMaxHalfOpen、TcpMaxHalfopenRetried和TcpMaxPortsexhausted三个参数判断是否遭受SYN攻击。保护机制SYN半连接的阈值TcpMaxHalfOpen的大小的设置是关键，太小影响正常的连接。过大就失去了保护的意义，在保护机制没启动之前系统可能已经崩溃。假使某服务器的PAGEVIEW是50万天,假使首页有10个对象。那么SYN就是50*10÷24÷3600=57。就是说我每秒至少要保证有57个SYN，否则正常的都无法访问了。TcpMaxHalfOpen表示能同时处理的最大半连接数，如果超过此值。系统认为正处于SYN攻击中。TcpMaxHalf0penRetried定义了保存在backlog队列且重传过的半连接数。如果超过此值，系统自动启动SynAttackProtect机制。TcpMaxPortsExhausted是指系统拒绝的SYN请求包的数量。当系统的TCP/IP连接的数值超过这三项中任何一项所设置的阈值时．系统就认为受到了SYN Flood攻击．并开始启动保护机制中设置的其他选项：减短SYN Timeout时间、减少SYN+ACK的重试次数、自动对缓冲区中的报文迸行延时等等措施。力图将攻击危害减到最低。Linux的SYN攻击保护机制SYN Cookie原理由D．J．Bemstain和Eric Schenk发明。linux、FreeBSD等操作系统都应用SYN Coobe技术，SYN Cookie是能够有效防范SYN攻击的手段中最著名的一种。我们知道．TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目。当SYN请求不断增加，并占满这个空间，致使系统丢弃SYN连接。SYN Cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN+ACK包给客户端。客户端也要发送确认包给服务器。通常．服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数．但在SYN Cookie中．服务器的初始序列号是通过对客户端IP地址、客户端端口、服务器IP地址和服务器端口以及其他一些安全数值等要索进行hash运算，加密得到的。称之为cookie。并把该cookie值作为初始序列号的前24位发给客户端。如果服务器收到客户端的ACK包。服务器将客户端的ACK序列号减去1得到cookie比较值．并将上述要素进行一次hash运算．看看是否等于此cookie。如果相等，直接完成三次握手。当服务器遭受SYN攻击时，服务器并不拒绝新的SYN请求,而是回复cookie(回复包的SYN序列号)给客户端，因为攻击者并不知道这里的cookie值。而且也很难推算出该值。因此TCP服务器也几乎不可能为这些SYN+ACK包分配存储空问．这也就说明了SYNCookie达到起到了抵挡SYN Flood攻击的作用。Linux与Windows的SYN攻击保护机制的比较Windows所采用的修改TCP/IP协议