攻击防范之SYNFlood及防御

过去，攻击者所面临的主要问题是网络带宽，由于较小的网络规模和较慢的网络速度的限制，攻击者无法发出过多的请求。虽然类似“Ping of Death”的攻击类型只需要较少量的包就可以摧毁一个没有打过补丁的操作系统，但大多数的DoS攻击还是需要相当大的带宽，而以个人为单位的黑hei客们很难消耗高带宽的资源。为了克服这个缺点，DoS攻击者开发了分布式的攻击。

木马成为黑hei客控制傀kui儡的工具，越来越多的计算机变成了肉鸡，被黑hei客所利用，华为下一代防火墙，并变成了他们的攻击工具。黑hei客们利用简单的工具集合许多的肉鸡来同时对同一个目标发动大量的攻击请求，这就是DiDoS(Distributed Denial of Service)攻击。随着互联网的蓬勃发展，越来越多的计算机不知不觉的被利用变成肉鸡，攻击逐渐变成一种产业。

提起DiDoS攻击，大家首先想到的一定是SYN Flood攻击，

开始的SYN Flood攻击类似于协议栈攻击，在当年的攻击类型中属于技术含量很高的“高大上”。当年由于系统的限制以及硬件资源性能的低下，称霸DiDoS攻击领域很久。它与别人的不同在于，你很难通过单个报文的特征或者简单的统计限流防御住它，因为它“太真实”、“太常用”。

SYN Flood具有强大的变异能力，在攻击发展潮流中一直没有被湮没，这完全是他自身的***所决定的：
1、单个报文看起来很“真实”，没有畸形。
2、攻击成本低，很小的开销就可以发动庞大的攻击。
2014年春节期间，某IDC的OSS系统分别于大年初二、初六、初七连续遭受三轮攻击，******长的一次攻击时间持续将近三个小时，攻击流量峰值接近160Gbit/s！事后，通过对目标和攻击类型分析，基本可以判断是有一个黑hei客***发起针对同一目标的攻击时间。经过对捕获的攻击数据包分析，发现黑hei客攻击手段主要采用SYN Flood。

2013年，某安全运营报告显示，DiDoS攻击呈现逐年上升趋势，其中SYN Flood攻击的发生频率在2013全年攻击统计中占31%。

可见，时至今日，SYN Flood还是如此的猖獗。下面我们一起看一下它的攻击原理。

TCP三次握手SYN flood是基于TCP协议栈发起的攻击，在了解SYN flood攻击和防御原理之前，还是要从TCP连接建立的过程开始说起。在TCP/IP协议中，TCP协议提供可靠的连接服务，无论是哪一个方向另一方发送数据前，都必须先在双方之间建立一条连接通道，这就是传说中的TCP三次握手。

1、第di一次握手：客户端向服务器端发送一个SYN（Synchronize）报文，指明想要建立连接的服务器端口，以及序列号ISN。
2、第二次握手：服务器在收到客户端的SYN报文后，惠州下一代防火墙，将返回一个SYN ACK的报文，表示客户端的请求被接受，同时在SYN ACK报文中将确认号设置为客户端的ISN号加1。 ACK即表示确认（Acknowledgment）。
3、第三次握手：客户端收到服务器的SYN-ACK包，向服务器发送ACK报文进行确认，ACK报文发送完毕，
三次握手建立成功。如果客户端在发送了SYN报文后出现了故障，那么服务器在发出SYN ACK应答报文后是无法收到客户端的ACK报文的，即第三次握手无法完成，这种情况下服务器端一般会重试，向客户端再次发送SYN ACK，并等待一段时间。如果一定时间内，还是得不到客户端的回应，则放弃这个未完成的连接。这也是TCP的重传机制。

SYN Flood攻击正是利用了TCP三次握手的这种机制。攻击者向服务器发送大量的SYN报文请求，当服务器回应SYN ACK报文时，不再继续回应ACK报文，导致服务器上建立大量的半连接，直至老化。这样，服务器的资源会被这些半连接耗尽，导致正常的请求无法回应。

防火墙针对SYN Flood攻击，一般会采用TCP代理和源探测两种方式进行防御。

防火墙能作些什么？

(1)防火墙是保全决策的***

　　防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、检查点，在网路安全防护上，防火墙提供非常大的杠杆效益，因为它把安全措施集中在这个检查点上。

　　(2)防火墙可以执行保全政策

　　防火墙强制执行站台的保全政策，只让核准的服务通过，而这些服务设定在Policy中。

　　(3)防火墙能有效率的记录Internet的活动

　　由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的地点。

　　(4)防火墙可以减少网路暴露的危机

　　防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响到内部主机的安全

1.防火墙原理

通过匹配数据包中的源目IP地址及源目端口或者协议，地址转换及隐藏端口等，定义相应策略，从而实现需求及效果。2.作用2.1防止外部攻击，保护内网；

2.2在防火墙上做NAT地址转换（源和目的）；

2.3基于源地址及目的地址应用协议及端口做策略规则，控制访问关系；

2.4限定用户访问特殊站点

2.5管理访问网络的行为

2.6做监管认证3.部署位置（以Hillstone SG6000为例）一般部署在出口位置，如出口路由器等，或者区域出口4.接入方式三层接入（需要做NAT转换，深信服下一代防火墙，常用）

二层透明接入（透明接入不影响网络架构）

混合接入（一般有接口需要配置成透明模式，锐捷下一代防火墙，可以支持此模式）5.安全域划分5.1一般正常三个安全域untrust（外网）、trust（内网）、DMZ

5.2服务器网段也可自定义多个，外网接口ip地址：客户提供

5.3内网口ip地址：如果内网有多个网段，建议在中心交换机配置***的VLAN网段，不要与内网网段相同。

5.4如果客户内网只有一个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（使用于中小型网络）

5.5 DMZ口ip地址：建议配置成服务器网段的网关

惠州下一代防火墙-锐捷下一代防火墙-华思特(诚信商家)由深圳市华思特科技有限公司提供。深圳市华思特科技有限公司（www.fastchina.net）是一家从事“机房建设,综合布线,智能安防,视频监控,网络集成等”的公司。自成立以来，我们坚持以“诚信为本，稳健经营”的方针，勇于参与市场的良性竞争，使“华为,H3C,思科,DELL,联想,深信服,360等”品牌拥有良好口碑。我们坚持“服务为先，用户至上”的原则，使华思特在网络工程中赢得了众的客户的信任，树立了良好的企业形象。 特别说明：本信息的图片和资料仅供参考，欢迎联系我们索取准确的资料，谢谢！同时本公司（www.fast666.cn）还是从事深圳it综合布线，广州综合布线工程，东莞综合网络布线的服务商，欢迎来电咨询。