Dark background with blue code overlay

什么是 SYN 泛洪 DDoS 攻击?

理解 SYN 泛洪 DDoS 攻击

SYN 分布式拒绝服务攻击是一种 DDoS 攻击类型,它会影响 OSI 模型第 4 层的 TCP 协议,并向网络设备、负载平衡器、会话管理设备或服务器发出巨量的资源连接请求,企图造成这些设备离线。SYN 泛洪攻击也称为“半开放攻击”,它利用 TCP/IP 握手中的常见漏洞,通过大量 TCP 连接造成服务器不堪重负,使其无法为合法的流量与合法的连接提供服务。这种类型的网络攻击可以让能够维持上千万个连接的设备宕机。TCP SYN 泛洪攻击最早在 20 世纪 90 年代早期就被黑客利用,其中最有名的黑客是 Kevin Mitnick,他通过创建欺骗性 TCP/IP 连接的手法发起 DOS 攻击。

SYN 泛洪攻击的工作原理是什么?

合法客户端与服务器之间的典型连接请求涉及一次 TCP 三向握手。客户端/用户将同步 (SYN) 数据包发送给服务器以请求连接。服务器将同步-确认 (SYN-ACK) 数据包发送给客户端以确认请求。客户端使用确认 (ACK) 消息进行响应,连接随即建立。还有 RESET (RST) 之类的其他 TCP“标记”,以及客户端和目标服务器可以彼此传输的预先确定超时值,但概括来说,TCP 是一种面向连接的协议。 

在 SYN 泛洪攻击中,攻击者可以反复将 SYN 数据包发送到服务器上的每个端口(通常使用虚假 IP 地址或欺骗性 IP 地址),或发送到任意一个端口。由于这些请求看似合法的 TCP 连接,服务器会使用来自所请求的每个开放端口的 SYN-ACK 数据包响应各请求。最终的 ACK 数据包永远不会到达,于是服务器就会维持越来越多的开放端口连接。在所有可用端口均已开放后,服务器无法再正常运行,造成为真实用户管理 TCP 序列号极其困难。 

SYN 泛洪攻击有哪些种类?

SYN 泛洪攻击可以通过三种方式进行:

  1. 非欺骗性 IP 地址。 利用此方法时,目标公司更容易识别归属并加以抵御,但如何安全地做到这一点,是网络安全专家面临的一项挑战。
  2. 欺骗性 IP 地址。 在此方法中,攻击者模拟可信服务器或互联网连接设备的源 IP 地址,因此会加大跟踪数据包并防范攻击的难度。

  3. 分布式 IP 地址。 这种形式的 SYN 泛洪攻击使用僵尸网络从受感染设备构成的分布式网络发送恶意数据包,这些设备可以使用自己的 IP 地址或欺骗性地址,发起复杂度更高、规模更大、抵御难度更大的攻击。

 

SYN 泛洪 DDoS 攻击的目的是什么?

SYN 泛洪 DDoS 攻击 可能会给网络和系统造成重大性能问题。SYN 泛洪攻击会拖垮服务器并造成其离线,致使合法用户无法正常使用服务,并造成数据丢失。由于 SYN 泛洪攻击会造成服务器离线,合法用户将无法访问应用程序、数据和电商网站。因此,企业可能蒙受销售损失、声誉受损、关键基础架构中断以及业务连续性丧失。

SYN 泛洪 DDoS 攻击还可能为勒索软件等其他类型的攻击打掩护,也就是“烟幕”。攻击者通过发起 SYN 泛洪攻击迫使安全团队和 DDoS 防御系统将资源集中于某一个区域或策略,随即攻击者趁机攻击系统的另一个部分。

如何抵御 SYN 泛洪攻击?

抵御 SYN 泛洪 DDoS 攻击的常见技术包括:

  • 入侵检测系统 (IDS),如果攻击使用非欺骗性源 IP,这类系统能检测并阻止来自 SYN 泛洪攻击和其他 DDoS 攻击的恶意流量
  • 速率限制技术,用于限制任何时候可以向服务器发送的每秒 SYN 请求数或每秒 SYN 数据包数
  • 配置更大的待处理任务队列,增加允许的“半开放”连接数量
  • 部署解决方案以实现更高的网络监测能力,让安全团队能够查看和分析来自网络不同部分的流量
  • SYN Cookie,使用 ACK 数据包中的加密哈希在分配内存资源之前验证连接,也称为反欺骗方法
  • 回收最早的半开放连接,为新连接腾出空间,并确保系统在泛洪攻击期间保持可访问状态
  • 防火墙,可以过滤掉非法的 SYN 数据包(但这样做会降低性能)
  • 云 DDoS 抵御

借助 Akamai 技术阻止 SYN 泛洪攻击

Akamai 为全球大型企业提供安全的数字化体验。我们会让决策、应用程序和体验尽量靠近用户,同时竭力抵御攻击和威胁,使我们的客户及其网络能够做到快速、智能、安全。

我们的端到端 DDoS 和 DoS 防护解决方案提供了一种整体式方法,可用作第一道防线。凭借专用边缘、分布式 DNS 和网络云抵御策略,我们的反 DDoS 技术可防止附带损害和单点故障,为我们的客户提供更高的恢复能力、专项净化容量和更高的抵御质量。

App & API Protector 提供一整套强大的保护措施,这些保护措施专为实现“以客户为中心”的自动化而构建。该解决方案不但提供了当今高度先进的应用程序安全自动化机制,而且依然方便易用。这种新的自适应安全引擎加上多项卓越的核心技术,将 DDoS 防护、 API 安全、爬虫程序抵御和 Web 应用程序防火墙整合到了一套简单易用的解决方案中。

Prolexic 可以实施高速、有效的大规模防御,以阻止 DDoS 攻击。Prolexic 为 DDoS 防御提供了零秒 SLA,可主动缩小攻击面,并根据网络流量情况自定义抵御控制措施,从而即时阻止攻击。全托管式 SOCC 可作为您现有网络安全计划的补充,通过业界公认的经验帮您改善解决问题的时间。

Edge DNS 借助规模庞大的边缘平台防范 DNS 中断,为企业提供有保障、值得信赖的不间断 DNS 可靠性。作为一款云端解决方案,Edge DNS 可确保全天候 DNS 可用性、更好的 DNS 响应度,还能够抵御规模庞大的 DDoS 攻击。

Why customers choose Akamai

Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.

Explore all Akamai security solutions