面试题答案
一键面试TCP SYN Flood攻击原理
- 正常TCP连接过程:
- TCP连接通过三次握手建立,客户端发送SYN包,服务器收到后回复SYN + ACK包,客户端再发送ACK包,连接建立完成。
- 攻击原理:
- 攻击者向服务器发送大量伪造源IP地址的SYN包,服务器为每个SYN包分配资源(如创建连接控制块等)并回复SYN + ACK包。但由于源IP地址是伪造的,客户端不会回复ACK包,导致服务器的半连接队列被填满。后续正常的连接请求到达时,由于半连接队列已满,服务器无法为其分配资源,从而拒绝服务,造成正常用户无法建立TCP连接。
防范措施
网络层
- 配置防火墙:
- 源IP地址过滤:配置防火墙检查源IP地址的合法性,丢弃来自非法IP段或伪造IP地址的SYN包。例如,企业网络可以只允许来自已知合法IP范围的连接请求。
- 设置SYN包速率限制:限制单位时间内来自单个IP的SYN包数量,超过阈值的包将被丢弃。如设定每秒每个IP最多发送100个SYN包。
- 部署入侵检测系统(IDS)/入侵防范系统(IPS):
- IDS/IPS可以检测异常的SYN包流量模式。例如,当检测到短时间内大量来自不同源IP的SYN包,且没有相应的ACK回复时,系统可以发出警报(IDS)或直接阻断流量(IPS)。
传输层
- 调整TCP参数:
- 增大半连接队列长度:在服务器端操作系统中,适当增大TCP半连接队列的长度,使服务器能容纳更多的半连接,减轻攻击影响。例如,将半连接队列长度从默认的128增加到1024。
- 缩短SYN - ACK重传次数和时间间隔:减少SYN - ACK包的重传次数和重传时间间隔,对于长时间没有收到ACK回复的半连接,尽快释放相关资源。如将重传次数从默认的5次减少到3次,重传时间间隔从默认的3秒缩短到1秒。
- 启用SYN Cookie:
- SYN Cookie是一种无需在半连接队列中保存状态信息的机制。当服务器收到SYN包时,不立即分配连接资源,而是根据SYN包中的信息(如源IP、端口、时间戳等)生成一个特殊的Cookie作为SYN - ACK包的初始序列号。当客户端回复ACK包时,服务器验证该Cookie的合法性,若合法则建立连接。这样即使半连接队列被填满,服务器也能正常处理新的连接请求。
应用层
- 采用认证机制:
- 在应用层添加身份认证环节,如用户名/密码认证、证书认证等。在TCP连接建立后,只有通过认证的用户才能进行后续操作。这样可以避免攻击者在连接建立后进行恶意操作,同时也能减少恶意连接请求的数量,因为攻击者难以通过认证。
- 负载均衡与资源分配:
- 负载均衡:使用负载均衡器将流量均匀分配到多个后端服务器,当一台服务器受到SYN Flood攻击时,其他服务器仍能正常工作。例如,采用轮询、加权轮询等负载均衡算法。
- 资源分配限制:在应用层对每个连接可占用的资源进行限制,如限制每个连接的带宽、请求频率等。对于异常的高流量连接请求进行限流或阻断,防止攻击者利用大量连接耗尽服务器资源。