隨著網(wǎng)絡(luò)犯罪分子利用互聯(lián)網(wǎng)使用增加的優(yōu)勢(shì)，DDoS（分布式拒絕服務(wù)）攻擊的效力急劇增加。這是一種攻擊，其中受害者的服務(wù)或網(wǎng)站被攻擊者通過(guò)惡意流量淹沒(méi)它而被破壞。在很大程度上，DDoS 數(shù)量增加的關(guān)鍵原因與攻擊方法的采用增加有關(guān)：SYN（同步數(shù)據(jù)包洪水）攻擊。

以卡巴斯基2019 年和 2020 年的 DDoS 攻擊統(tǒng)計(jì)為例，在DDoS 攻擊類型中，SYN Flood 攻擊在 2019 年 Q1 占據(jù)了相當(dāng)大的份額。雖然2020 年 DDoS 攻擊類型發(fā)生了一些明顯的變化, SYN Flood 是榜單上唯一的不動(dòng)產(chǎn)，但其份額持續(xù)增長(zhǎng)并觸及 92.6% 的最高紀(jì)錄。

事實(shí)證明，超過(guò) 80% 的 DDoS 攻擊使用 SYN 泛洪方法，這種方法可以造成與 DDoS 攻擊相關(guān)的所有損害：消費(fèi)者信任的喪失、收入的損失、財(cái)務(wù)數(shù)據(jù)、IP 或客戶信息的盜竊，以及軟件和硬件損壞。讓我們探討一下什么是 SYN（同步）攻擊以及如何防止這種攻擊。

什么是 SYN 攻擊？

SYN Flood攻擊又稱半開(kāi)攻擊，是一種協(xié)議攻擊，它利用網(wǎng)絡(luò)通信中的漏洞，使受害者的服務(wù)器對(duì)合法請(qǐng)求不可用。通過(guò)消耗所有服務(wù)器資源，這種類型的攻擊甚至可以破壞能夠處理數(shù)百萬(wàn)個(gè)連接的高容量組件。

SYN 洪水攻擊是如何工作的？

由于SYN Flood DDoS 攻擊利用 TCP 三向握手連接及其在處理半開(kāi)連接方面的局限性，讓我們從正常的 TCP 握手機(jī)制如何工作開(kāi)始，然后繼續(xù)討論 SYN 攻擊如何干擾連接。

• 當(dāng)客戶端系統(tǒng)想要啟動(dòng) TCP 連接時(shí)，它會(huì)將 SYN（同步）消息作為請(qǐng)求發(fā)送到服務(wù)器。
• 服務(wù)器通過(guò)向客戶端發(fā)送 SYN-ACK 來(lái)響應(yīng)此請(qǐng)求。
• 然后，客戶端用 ACK 向服務(wù)器應(yīng)答 SYN-ACK。在完成這一系列數(shù)據(jù)包的發(fā)送和接收后，TCP 連接就可以進(jìn)行通信了。

在 SYN 泛洪攻擊中，黑客偽裝成客戶端，以高于受害機(jī)器可以處理的速率發(fā)送 TCP SYN 連接請(qǐng)求。它是一種資源耗盡型 DoS 攻擊。黑客可以通過(guò)三種不同的方式進(jìn)行 SYN 洪水攻擊：

1. 直接SYN洪水攻擊

在這種方法中，黑客使用自己的 IP 地址發(fā)起攻擊。他向服務(wù)器發(fā)送多個(gè) SYN 請(qǐng)求。但是，當(dāng)服務(wù)器以 SYN-ACK 響應(yīng)時(shí)，作為確認(rèn)，他不會(huì)以 ACK 響應(yīng)，而是繼續(xù)向受害服務(wù)器發(fā)送新的 SYN 請(qǐng)求。

在服務(wù)器等待 ACK 的同時(shí)，SYN 報(bào)文的到來(lái)使服務(wù)器資源保留了一定時(shí)間，連接會(huì)話處于半開(kāi)狀態(tài)，最終導(dǎo)致服務(wù)器無(wú)法正常運(yùn)行，拒絕合法客戶端的請(qǐng)求。

在這種直接攻擊方法中，為了確保忽略 SYN/ACK 數(shù)據(jù)包，黑客會(huì)相應(yīng)地配置防火墻或?qū)⒘髁肯拗茷閭鞒龅?SYN 請(qǐng)求。由于黑客使用自己的 IP 地址，因此攻擊者更容易被檢測(cè)到。這種攻擊很少使用。

2. SYN 欺騙攻擊

作為避免被檢測(cè)到的替代方法，惡意攻擊從欺騙/偽造的 IP 地址發(fā)送 SYN 數(shù)據(jù)包。服務(wù)器收到 SYN 請(qǐng)求后，向偽造的 IP 地址發(fā)送 SYN-ACK 并等待響應(yīng)。由于欺騙源沒(méi)有發(fā)送數(shù)據(jù)包，因此它們沒(méi)有響應(yīng)。

對(duì)于這種 SYN Flood 攻擊，攻擊者會(huì)選擇未使用的 IP 地址，從而確保系統(tǒng)永遠(yuǎn)不會(huì)響應(yīng) SYN-ACK 響應(yīng)。

3. DDoS（分布式拒絕服務(wù)）SYN攻擊

在這種 SYN 泛洪攻擊的變種中，受害服務(wù)器在攻擊者的控制下同時(shí)從多臺(tái)受感染的計(jì)算機(jī)接收 SYN 數(shù)據(jù)包。這種被劫持機(jī)器的組合稱為僵尸網(wǎng)絡(luò)。

如何防范 SYN 洪水攻擊？

SYN Flood 的脆弱性早已為人所知，因此已經(jīng)利用了幾種 SYN Flood 攻擊緩解措施。一些SYN攻擊防護(hù)如下：

1. 增加積壓隊(duì)列

每個(gè)操作系統(tǒng)分配一定的內(nèi)存來(lái)保存半開(kāi)連接作為 SYN 積壓。如果達(dá)到限制，它將開(kāi)始斷開(kāi)連接。為了防止 SYN 攻擊，我們可以增加 backlog 的限制，以避免拒絕合法連接。

2. 回收最舊的半開(kāi)連接

SYN 攻擊保護(hù)的另一種方法是通過(guò)刪除最舊的半開(kāi)連接來(lái)重用 SYN 積壓的內(nèi)存。這為新連接創(chuàng)造了空間，并確保在洪水攻擊期間系統(tǒng)在一定限度內(nèi)保持可訪問(wèn)性。這種緩解方法對(duì)大容量 SYN Flood DDoS 攻擊無(wú)效。

3. SYN Cookie

下一個(gè) SYN 洪水攻擊緩解策略涉及 cookie 的概念。在這種情況下，為了避免拒絕連接，服務(wù)器對(duì)每個(gè)請(qǐng)求都使用 ACK 數(shù)據(jù)包進(jìn)行響應(yīng)，然后從 backlog 中刪除 SYN 請(qǐng)求數(shù)據(jù)包。通過(guò)刪除請(qǐng)求，服務(wù)器使端口保持打開(kāi)狀態(tài)以進(jìn)行新連接。

如果請(qǐng)求來(lái)自合法客戶端，服務(wù)器將從客戶端機(jī)器獲取 ACK 數(shù)據(jù)包，然后重新構(gòu)建 SYN 積壓條目。這種方法確實(shí)會(huì)丟失一些關(guān)于連接的細(xì)節(jié)；但是，這比成為 DDoS 攻擊的受害者要好。

4.防火墻過(guò)濾

啟用防火墻檢測(cè)和過(guò)濾 SYN 數(shù)據(jù)包。可以配置防火墻來(lái)防止或限制各種 DDoS 攻擊的影響，包括數(shù)據(jù)包掃描、泛洪和未經(jīng)授權(quán)的端口掃描。

超越 IPS 設(shè)備和傳統(tǒng)防火墻來(lái)緩解 SYN Flood DDoS 攻擊！

雖然基于網(wǎng)絡(luò)的防火墻和 IPS 設(shè)備對(duì)網(wǎng)絡(luò)安全至關(guān)重要，但它們不足以確保針對(duì)復(fù)雜攻擊提供完整的DDoS 保護(hù)。今天更復(fù)雜的攻擊需要多方面的方法。可以從最佳 DDoS 保護(hù)和更快的 SYN 洪水攻擊緩解中獲得的一些設(shè)施包括：

• 支持內(nèi)聯(lián)和帶外流量可見(jiàn)性，以分析來(lái)自網(wǎng)絡(luò)各個(gè)部分的流量
• 不同來(lái)源的威脅情報(bào)，包括可定制的閾值警報(bào)、統(tǒng)計(jì)異常檢測(cè)以及已知和新出現(xiàn)威脅的數(shù)據(jù)庫(kù)，以確保準(zhǔn)確檢測(cè)
• 低端和高端攻擊的可擴(kuò)展性

如何阻止 SYN 攻擊？

防范諸如此類的網(wǎng)絡(luò)級(jí) DDoS 攻擊應(yīng)該是您的托管服務(wù)提供商計(jì)劃的一部分，并且大多數(shù)公共云提供商都將其包含在他們的產(chǎn)品中。作為企業(yè)主，您必須更多地關(guān)注責(zé)任共擔(dān)模型以及如何防范特定于托管在托管服務(wù)提供商提供的計(jì)算實(shí)例上的有效負(fù)載和應(yīng)用程序的風(fēng)險(xiǎn)。