DoS (Denial of Service Denial of Service) en DDoS (Distributed Denial of Service Distributed Denial of Service) aanvallen zijn grootschalige websites en web-server bedreigingen van de veiligheid. Februari 2000, Yahoo, Amazon had, CNN en andere voorbeelden van aanslagen, zijn uitgehouwen in de geschiedenis van de grote veiligheidsincidenten.
SYN flood aanvallen, omdat het effect ervan, is uitgegroeid tot de meest populaire vormen van DoS-en DDoS-aanvallen.
TCP SYN Flood Gebruikt protocol fout, het verzenden van een groot aantal valse verzoeken TCP verbinding, gemaakt door uitputting van de aanvallende kant, niet in staat om te reageren op of omgaan met een normale aanvraag. Een normale TCP-verbinding vereist three-way handshake, de eerste klant stuurt een pakket met SYN vlag, dan is de server geeft een SYN / ACK reactie pakket dat verzoek van de cliënt wordt aanvaard, de eindklant en retourneert vervolgens een bevestiging ACK packet, Deze volledige TCP-verbinding. De server stuurt antwoordpakketten, als de klant klant niet een bevestiging, Fu Wuqi 会 wachten totdat de time-out, Qi Jian Lian Jie deze semi-state worden opgeslagen in een buffer wachtrij ruimte beperkt is, indien een groot aantal SYN pakketten worden doorgestuurd naar de server na de no Yingda zal de server kant TCP snelle uitputting van middelen, resulterend in een normale verbinding niet binnen kan komen, of zelfs leiden tot de server crash.
Firewall wordt meestal gebruikt om het interne netwerk te beschermen tegen ongeoorloofde toegang externe netwerken, die is gelegen tussen de client en de server, dus een firewall gebruiken om DoS-aanvallen te voorkomen, kan een doeltreffende bescherming van de interne server. Tegen SYN Flood, firewall-beveiliging wordt meestal op drie manieren: SYN Gateway, Gateway, en SYN SYN passieve relais.
SYN Gateway Firewall-client's SYN pakket ontvangen, wordt het direct doorgegeven aan de server, firewall voordat de server SYN / ACK-pakket, zal de hand SYN / ACK packet forwarding naar de klant, aan de andere kant de naam van de client naar de server loopback een ACK pakket naar het TCP three-way handshake voltooid, wordt de status van de verbinding naar de server kant en een half in de verbinding staat. Wanneer de cliënt de echte ACK pakket arriveert, worden de gegevens doorgegeven aan de server, anders gooi het pakje. Omdat de server kan dragen status van de verbinding is veel hoger dan de semi-aangesloten, zodat deze methode kan effectief verminderen van de aanval op de server.
Passieve SYN Gateway SYN verzoek tot instelling van de firewall time-out parameters, het is veel kleiner dan de server time-out periode. Firewall Client is verantwoordelijk voor het doorsturen van de SYN-pakket naar de server verzonden, de server verzonden naar de klant SYN / ACK-pakket, en de klant ACK-pakket naar de server gestuurd. Dus als de klant wanneer de timer afloopt in de firewall niet te sturen ACK pakketten, de firewall is het verzenden van RST pakketten naar de server, dus de server uit de wachtrij door het schrappen van de semi-verbinding. Als de firewall timeout parameter is veel kleiner dan de time-out periode voor de server, zodat zij effectief kan worden voorkomen dat SYN flood aanvallen.
SYN Relay firewall ontvangen nadat de klant SYN-pakket wordt niet doorgegeven aan de server, maar dan het initiatief nemen om de status informatie record terug naar de klant om SYN / ACK pakket sturen, indien de ontvangen klant ACK-pakket, dat is een normale bezoek van de firewall stuur SYN-pakketten naar de server en vul de three-way handshake. Dit middel wordt gebruikt door de firewall als een client en server-side-verbinding, kunt u niet volledig filter naar de server gestuurd met de verbinding.