SYN Cookie的实现与改进

本文对SYN Cookie方案的原理进行细致的分析，指出了其技术上的不足，提出了预先分配微小资源和设置回传SYN＋ACK报文的想法，试图提升系统在受到攻击时的生存水平。     

基于NAT异常自动检测和防范SYN攻击的边界路由器设计及实现

在黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。针对常见的SYN攻击在边界路由器NAT转换中的表现出的异常特征,提出了一种实用价值很高的SYN攻击自动检测和防范策略,并在一款边界路由器中实现。当路由器上检测到SYN攻击时,传递告警信号给网管主机,向网管员及时报警。     

非对称路由环境下SYN flood攻击防御方法

针对现有网络安全设施无法有效防御非对称路由环境下流量规模较大的SYN flood攻击的问题,对SYN flood攻击检测技术和TCP连接管理策略进行研究,提出了一种轻量级攻击检测和混合连接管理策略相结合的防御方法,利用SYN分组比例和目的地址熵进行攻击检测,并根据检测结果对基于SYN的连接管理策略和基于数据的连接管理策略进行灵活切换。实验证明该防御方法能有效地减轻SYN flood攻击对网络安全设施的影响。     

SYN Flood攻击的检测

为有效防止和避免网络的SYN Flood攻击,论文介绍了 SYN Hood攻击的基本原理,国内外研究现状,然后详细描述了两种比较有效和方便实施的防御方法:SYN-cookie技术和地址状态监控.SYN-cookie技术实现了无状态的握手,避免了SYN Flood的资源消耗.地址状态监控的解决方法能够对每一个连接服务器的...     

基于策略系统的SYN Flooding攻击防御机制

拒绝服务(denial of service)攻击对网络带来的危害越来越严重,SYN Flooding攻击是DoS攻击中著名的一种.本文介绍了在网络测量平台上基于策略系统的SYN Flooding攻击防御机制.文章首先简单介绍了SYN Flooding的攻击原理、防御方法以及网络监测系统,然后对策略系统进行了讨论,最后详细阐述了网络测量平台上基于策略系统的SYN Flooding攻击检测和追踪工具的设计与实现,并进行了分析.     

接入控制器中基于Netfilter的防范DDOS攻击策略研究

DDOS(分布式拒绝服务)是一种常见的、破坏力强的网络攻击,为了减小其对网络设备的影响,提出一种在接入控制器中基于 Netfilter的防范DDOS攻击的策略。结合改良的 SYN Cookie(标识握手信号的本地数据)技术,对 Linux 内核中的Netfilter进行二次开发,实现了针对DDOS中 SYN Flood(标识握手信号的洪水攻击)方式的防火墙。测试结果表明：该方案能够有效地防止网络攻击,以较小的性能损失保证TCP(传输控制协议)服务的正常工作,并节约了成本。     

路由器TCP拦截技术及实现

路由器TCP拦截技术的目的是防止SYN攻击内部主机。SYN洪泛攻击是种普遍而又简单的攻击方式,其原理是TCP三次握手的第一个报文设置了SYN位,当某台主机接收到一个请求服务的初始报文时,该主机响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答。如果请求的发出者不作响应,主机就会因为超时而结束连接。当主机在等待源端来的ACK应答时,将会占用主机的资源,     

一种防御SYN Flood的自适应阈值状态模型

SYN Flood攻击可在短时间内发送大量的SYN数据包给防火墙,造成状态检测防火墙的状态表溢出,使其无法响应合法请求,从而导致整个网络的系统性能下降。在防御SYN Flood攻击的状态检测模型的基础上,提出一种自适应阈值状态检测模型。它利用自适应阈值算法对流量进行预处理,保障防火墙在高强度攻击下的自身安全。实验表明,该模型能有效抵御SYN Flood对内网主机的攻击,同时在一定程度上提高了状态检测防火墙自身防御的能力。     

基于HASH表和SYN计算的TCP包重组方法

本文提出一种基于HASH表和SYN计算的TCP会话重组方法,它利用 HASH表快速定位的特征和TCP包头中的SYN号进行多连接TCP会话重组,可解决IP数据包非按序到达和 TCP数据包重传问题。     

一种SYN Flood DoS攻击工具的实现

为检测目标主机是否存在DoS漏洞及承受DoS攻击的能力,在Linux平台上实现一个基于SYN Flood的DoS攻击工具。首先,介绍SYN Flood攻击原理。然后利用原始套接字结合IP欺骗技术,实现SYN Flood攻击报文的构造和发送,实现了基于SYN Flood攻击工具synAttacker。最后,利用synAttacker进行测试,并对测试结果进行分析。测试结果表明synAttacker能够进行有效的SYN Flood攻击,可以作为DoS渗透攻击工具。     

Research on Protecting Against SYN Flooding on a Firewall

1　IntroductionTheSYNFloodingattacksexploitTCP sthree wayhand shakemechanismanditslimitationinmaintaininghalf openconnections,andareper formedbytheattackersubmittingastreamofTCPSYN (connectionrequest)packetstothetargetsys tem ,fillingitsconnectionrequestqueue,andthusdenyinglegitimateusers accesstothetargetsys tem[1 ] .SYNFloodingdoesgreatharmtopopularwebsites,especiallytoe Businessones.Severalapproacheshavebeen proposedtocounterSYNfloodingattacks.SYNCache[2 ] andSYNCookie[3] canmiti…     

基于DDoS的TCP SYN攻击与防范

分布式拒绝服务攻击(DDoS)是出现在这几年的一种具有很强攻击力而又缺乏有效防御手段的Internet攻击手段,是目前网络安全界研究的热点.TCP SYN洪流攻击是最常见的DDoS攻击手段之一.文中在对DDoS攻击进行深入研究的基础上,着重对TCP SYN洪流攻击及其防范措施进行了深入研究,提出了一种新的综合攻击检测技术,较好地解决了对此类攻击的防范问题.     

SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking

In software‐defined networking (SDN), TCP SYN flooding attack is considered as one of the most effective attacks to perform control plane and target server saturation. In this attack, an attacker generates a large number of malicious SYN requests, and because of the absence of the forwarding rules, the data plane switches have to forward these SYN messages to the controller. This excessive forwarding causes congestion over the communication channel between a data plane and control plane, and it also exhausts computational resources at both the planes. In this paper, we propose a novel countermeasure called SYN‐Guard to detect and prevent SYN flooding in SDN networks. We fully implement SYN‐Guard on the SDN controller to validate the incoming TCP connection requests. The controller installs forwarding rules for the SYN requests that successfully clear the validation test of SYN‐Guard. The host of the fake SYN request is detected, and SYN‐Guard prevents it from sending any further SYN requests to the data plane switch. The performance evaluation done using the simulation results shows that SYN‐Guard exhibits low side effect for genuine TCP requests, and when compared with standard SDN and state‐of‐art proposals, it reduces the average response time up to 21% during an ongoing SYN flooding attack.     

基于多线程TCP端口扫描的实现与应用

用VC^ 6．0实现了TCP端口扫描，通过应用多线程技术和仅扫描Ping响应主机提高了扫描效率。程序还能够实现检验IP是否在线、查询主机名和显示端口Banner信息等多项端口扫描相关功能，并扩展实现了简单的SYN攻击功能。     

检测SYN洪水攻击的动态模型

分布式拒绝服务攻击对Internet威胁很大。正常服务器在这种攻击下资源会被很快消耗掉，从而不能为合法用户提供服务。本文提出了一个简单实用的动态检测模型用于检测SYN洪水攻击．可以实时有效和准确地检测到最为流行的SYN洪水攻击。在模型中采用基于CUSUM(Cumulative Sum)的自调整算法，可以有效降低系统的误报率。