UDP Flood防御的有效方法及原理(SYN攻击的防御方案已实现) |
作者:冰盾防火墙 网站:www.bingdun.com 日期:2015-01-05 |
|
原理:\r\n SYN攻击的原理我就不提了,随便搜一下都好多。说说我的防御原理吧,应该说SYN攻击是基于协议的缺陷,那防御却是基于协议的可靠性,即TCP协议有一个重发机制,当请求的数据包发出后没有得到响应,会由定时器触发重发数据包功能。而且加入了简单的身份鉴别功能,即可以确认这个重发不是黑客程序的第二次SYN发送请求。\r\n\r\n实现方法:\r\n 保护层透明接入网络,保护内部的服务器网络,当有SYN请求到来时,截获这个数据包,并给这个数据包的源地址发出一个不合理的ACK包,如果源地址是真到发出这个TCP连接请求,那么根据TCP实现的状态变迁需求,会向现在的目的地址发出一个RST包,这时中间层会记住这个状态,等待源主机的TCP触发定时器发出第二次SYN请求,此时让此数据包通过保护层到达服务器,从而完成一个正确的连接。\r\n\r\n结论:\r\n 上述方法在linux-2.6.4的内核中实现。当然,这个保护方法不是一直运行,而是在有检测到SYN攻击时才会启动,这样可以保证网络的高效运行。 |
|
|
|
|
|