当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > SYN攻击原理以及防范技术(3)

安全基础
艳照门事件启示 明星电脑安全防范手册
企业服务器文件共享安全问题剖析
IDS存在的问题及发展趋势
保证电脑安全的13个技巧
彻底远离木马,来看看技巧
无线网卡无法获取IP地址的故障
保证电脑安全的十个技巧
局域网ARP欺骗挂马方式详细讲解
传病毒的恶意网页怎么去掉?
制作连黑客都不懂的密码
网络钓鱼安全防范措施简介
网站安全通用专用保护方法和缺陷
新手防止账号被骗被盗的小技巧
优秀防火墙的介绍
防护短信欺诈及举报措施
即时通信工具(IM)安全防范措施
常见的网络钓鱼作案的七种手法
小技巧:配置不同网络参数
黑客是如何做到锁定用户的浏览器首页
7939上网导航病毒的解决方法

安全基础 中的 SYN攻击原理以及防范技术(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

  五、SYN攻击防范技术

  关于SYN攻击防范技术,人们研究得比较早。归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协议重新设计。

  1、过滤网关防护

  这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和SYN代理三种。

  ■网关超时设置:防火墙设置SYN转发超时参数(状态检测的防火墙可在状态表里面设置),该参数远小于服务器的timeout时间。当客户端发送完SYN包,服务端发送确认包后(SYN+ACK),防火墙如果在计数器到期时还未收到客户端的确认包(ACK),则往服务器发送RST包,以使服务器从队列中删去该半连接。值得注意的是,网关超时参数设置不宜过小也不宜过大,超时参数设置过小会影响正常的通讯,设置太大,又会影响防范SYN攻击的效果,必须根据所处的网络应用环境来设置此参数。

  ■SYN网关:SYN网关收到客户端的SYN包时,直接转发给服务器;SYN网关收到服务器的SYN/ACK包后,将该包转发给客户端,同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时,如果有数据则转发,否则丢弃。事实上,服务器除了维持半连接队列外,还要有一个连接队列,如果发生SYN攻击时,将使连接队列数目增加,但一般服务器所能承受的连接数量比半连接数量大得多,所以这种方法能有效地减轻对服务器的攻击。