美國(guó)獨(dú)立服務(wù)器TCP傳輸控制協(xié)議是面向連接的可靠的傳送服務(wù)，英文名是 Transport Control Protocol。美國(guó)獨(dú)立服務(wù)器數(shù)據(jù)傳送時(shí)是分段進(jìn)行的，交換數(shù)據(jù)必須建立一個(gè)會(huì)話，它用比特流通信，即數(shù)據(jù)被作為無(wú)結(jié)構(gòu)的字節(jié)流，通過(guò)每個(gè)TCP傳輸?shù)淖侄沃付樞蛱?hào)以獲得可靠性，接下來(lái)美聯(lián)科技小編就來(lái)講解下美國(guó)獨(dú)立服務(wù)器TCP協(xié)議可能造成的漏洞以及防御方式。

TCP協(xié)議是攻擊者攻擊方法的靈感，主要問(wèn)題存在于美國(guó)獨(dú)立服務(wù)器TCP的三次握手協(xié)議上，正常的TCP三次握手過(guò)程如下，A為請(qǐng)求端，B為被請(qǐng)求端：

• A發(fā)送一個(gè)初始序號(hào)ISNa的SY報(bào)文
• B收到A的SYN報(bào)文后，發(fā)送給A初始序列號(hào)ISNb，同時(shí)將 ISAT+1作為確認(rèn)的SYN+ACK報(bào)文
• A對(duì)SYN+ACK報(bào)文進(jìn)行確認(rèn)，同時(shí)將ISNa+1，ISNb+1發(fā)送給B

經(jīng)過(guò)以上三個(gè)握手，美國(guó)獨(dú)立服務(wù)器TCP協(xié)議的連接完成。

針對(duì)TCP協(xié)議的攻擊的基本原理是：TCP協(xié)議三次握手沒(méi)有完成的時(shí)候，被請(qǐng)求端B一般都會(huì)重試并等待段時(shí)，這常常被用來(lái)對(duì)美國(guó)獨(dú)立服務(wù)器進(jìn)行DOS、Land攻擊，一個(gè)特別打造的SYN包其原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接收的美國(guó)獨(dú)立服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果該地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直至超時(shí)。

一、攻擊實(shí)現(xiàn)

在 SYN Flood攻擊中，黑客機(jī)器向受害美國(guó)獨(dú)立服務(wù)器發(fā)送大量偽造源地址的TCP SYN報(bào)文，受害美國(guó)獨(dú)立服務(wù)器分配必要的資源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。由于源地址是偽造的，所以源端永遠(yuǎn)都不會(huì)返回ACK報(bào)文，受害美國(guó)獨(dú)立服務(wù)器繼續(xù)發(fā)送SYN+ACK包，并將半連接放入端口的積壓隊(duì)列中。

雖然一般美國(guó)獨(dú)立服務(wù)器都有超時(shí)機(jī)制和默認(rèn)的重傳次數(shù)，但是由于端口的半連接隊(duì)列的長(zhǎng)度是有限的，如果不斷地向受害主機(jī)發(fā)送大量的 TCP SYN報(bào)文，半連接隊(duì)列就會(huì)很快填滿，美國(guó)獨(dú)立服務(wù)器拒絕新的連接，將導(dǎo)致該端口無(wú)法響應(yīng)其他機(jī)器進(jìn)行的連接請(qǐng)求，最終使受害美國(guó)獨(dú)立服務(wù)器的資源耗盡。

二、防御方法

針對(duì) SYN Flood的攻擊防范措施主要有兩種，通過(guò)美國(guó)獨(dú)立服務(wù)器配置防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護(hù)，以及通過(guò)加固TCP/IP協(xié)議棧來(lái)進(jìn)行防范。

網(wǎng)關(guān)防護(hù)的主要技術(shù)有：SYN- cookie技術(shù)和基于監(jiān)控的源地址狀態(tài)、縮短 SYN Timeout時(shí)間。SYN- cookie技術(shù)實(shí)現(xiàn)了美國(guó)獨(dú)立服務(wù)器無(wú)狀態(tài)的握手，避免了 SYN Flood的資源消耗?；诒O(jiān)控的源地址狀態(tài)技術(shù)能夠?qū)γ恳粋€(gè)連接美國(guó)獨(dú)立服務(wù)器的IP地址的狀態(tài)進(jìn)行監(jiān)控，主動(dòng)采取措施避免 SYN Flood攻擊的影響。

為防范SYN攻擊， 美國(guó)獨(dú)立服務(wù)器Windows系統(tǒng)的TCP/IP協(xié)議內(nèi)嵌了SynAttackProtect機(jī)制。SynAttackProtect機(jī)制是通過(guò)關(guān)閉某些 socket選項(xiàng)，增加額外的連接指示和成少超時(shí)時(shí)間，使美國(guó)獨(dú)立服務(wù)器系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。

當(dāng)SynAttackProtectt值為0或不設(shè)置時(shí)，美國(guó)獨(dú)立服務(wù)器系統(tǒng)不受SynAttackProtect保護(hù)。當(dāng)SynAttackProtect值為1時(shí)，美國(guó)獨(dú)立服務(wù)器系統(tǒng)通過(guò)減少重傳次數(shù)和延遲未連接時(shí)路由緩沖項(xiàng)防范SYN攻擊。

以上內(nèi)容就是關(guān)于美國(guó)獨(dú)立服務(wù)器TCP協(xié)議可能造成的漏洞以及防御方式的介紹，個(gè)人用戶(hù)還可以使用一些第三方的個(gè)人防火墻，而對(duì)于企業(yè)用戶(hù)，購(gòu)買(mǎi)企業(yè)級(jí)防火墻硬件，都可有效地防范針對(duì)美國(guó)獨(dú)立服務(wù)器發(fā)起的TCP三次握手的拒絕式服務(wù)攻擊。

關(guān)注美聯(lián)科技，了解更多IDC資訊！