Abstract:本文介绍了传输层针对TCP的四种常见攻击方式,分别是SYN泛洪攻击,RST复位攻击,会话劫持以及ACK风暴。
目录
针对TCP协议的攻击
1.SYN泛洪攻击
漏洞:服务器端的资源是在第二次握手之后分配的,客户端资源是在第三次握手之后分配的。攻击者发送大量第一次握手的数据包,对服务器回复的ACK不予确认。导致服务器所有的连接处于挂起状态,消耗服务器资源。
防御:限制一台计算机向服务器发起SYN包的次数;先用代理服务器过滤掉可以的SYN包。
2.RST复位攻击
漏洞:TCP释放连接有两种方式,友好终止(FIN)和突然终止(RST)。RST=1说明连接中出现严重差错,丢弃缓冲区中的包,立刻断开TCP连接。
手段:攻击者创建tcp复位数据报,将数据报发送给受害者和服务器,终止两者的连接。复位数据报的伪造要求【源IP、源端口、目标IP、目标端口、序号】都要正确,而且序号要落在窗口内,因此窗口越大,越容易发起复位攻击。
3.会话劫持
基本思想:扰乱客户和服务器之间的同步状态,改写客户与服务器之间的会话
过程:
- 攻击者等待客户与服务器之间的TCP连接正常开启
- 攻击者伪装成客户向服务器发送RST包,使服务器的TCP连接关闭
- 攻击者伪装成客户向服务器发送TCP连接请求,序列号与客户最初选择的不同
- 服务器与攻击者建立TCP连接,它为自己选择的序列号也与之前的不同
- 客户并不知道这些,它仍然保持着之前双方的序列号
- 这样,客户与服务器之间的序列号就被扰乱了,它们之间传输的报文不被对方接受
- 攻击者作为中间人,通过改写收到的数据包,来维持客户与服务器之间的数据传输
4.ACK风暴
漏洞:主机会在接收到一个它不期望的报文后,向对方返回一个ACK报文,告知对方它想接收什么报文,希望重新与对方同步。而对方在收到报文之后,也发现报文的序号不对,它又会向主机发送ACK报文。这样就构成死循环,使网络上充满ACK报文,导致网络拥塞。
针对UDP协议的攻击
UDP Flood
UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。