SYN Flood攻擊防范技術(shù)白皮書

1、SYN Flood攻擊防范技術(shù)白皮書關(guān)鍵詞：SYN Flood ，SYN Cookie，Safe Reset摘要：本文主要介紹了H3C防火墻為保護(hù)服務(wù)器免受SYN Flood攻擊采用的防范技術(shù)的原理和應(yīng)用?？s略語：縮略語英文全名中文解釋DMZDe-Militarized Zone非軍事區(qū)域TCBTransmission Control Block傳輸控制塊TCPTransmission Control Protocol傳輸層控制協(xié)議目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景

2、 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)優(yōu)點(diǎn) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 技術(shù)實(shí)現(xiàn) HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 SYN Flood攻擊檢測技術(shù) HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 半開連接數(shù)檢測 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 新建連接速率檢測 HYPERLINK l _boo

3、kmark4 7 HYPERLINK l _bookmark5 SYN Flood攻擊防范技術(shù) HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 阻斷新建連接 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark7 釋放無效連接 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark7 SYN Cookie技術(shù) HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark9 Safe Reset技術(shù) HYPERLINK l _bookm

4、ark9 12 HYPERLINK l _bookmark10 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 SYN Cookie典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 Safe Reset典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark11 SYN Flood攻擊防范綜合組網(wǎng)應(yīng)用 HYPERLINK l _bookmark11 15概述產(chǎn)生背景SYN Flood攻擊是一種通過向目標(biāo)服務(wù)器

5、發(fā)送SYN報(bào)文，消耗其系統(tǒng)資源，削弱目標(biāo)服務(wù)器的服務(wù)提供能力的行為。一般情況下，SYN Flood攻擊是在采用IP源地址欺騙行為的基礎(chǔ)上，利用TCP連接建立時(shí)的三次握手過程形成的。眾所周知，一個(gè)TCP連接的建立需要雙方進(jìn)行三次握手，只有當(dāng)三次握手都順利完成之后，一個(gè)TCP連接才能成功建立。當(dāng)一個(gè)系統(tǒng)（稱為客戶端）請(qǐng)求與另一個(gè)提供服務(wù)的系統(tǒng)（稱為服務(wù)器）建立一個(gè)TCP連接時(shí)，雙方要進(jìn)行以下消息交互：客戶端向服務(wù)器發(fā)送一個(gè) SYN 消息；如果服務(wù)器同意建立連接，則響應(yīng)客戶端一個(gè)對(duì) SYN 消息的回應(yīng)消息（SYN/ACK）；客戶端收到服務(wù)器的 SYN/ACK 以后，再向服務(wù)器發(fā)送一個(gè) ACK 消息進(jìn)

6、行確認(rèn)。分配TCB資源分配TCB資源ServerClientSYN,sequence=x當(dāng)服務(wù)器收到客戶端的ACK消息以后，一個(gè)TCP的連接成功完成。連接的建立過程如 HYPERLINK l _bookmark0 圖1所示：ACK=y+1SYN,sequence=y,ACK=x+1圖1 TCP連接的建立在上述過程中，當(dāng)服務(wù)器收到SYN報(bào)文后，在發(fā)送SYN/ACK回應(yīng)客戶端之前，需要分配一個(gè)數(shù)據(jù)區(qū)記錄這個(gè)未完成的TCP連接，這個(gè)數(shù)據(jù)區(qū)通常稱為TCB資源，此時(shí)的TCP連接也稱為半開連接。這種半開連接僅在收到客戶端響應(yīng)報(bào)文或連接超時(shí)后才斷開，而客戶端在收到SYN/ACK報(bào)文之后才會(huì)分配TCB資源，因

7、此這種不對(duì)稱的資源分配模式會(huì)被攻擊者所利用形成SYN Flood攻擊。圖2 SYN Flood攻擊原理圖如 HYPERLINK l _bookmark1 圖2所示，攻擊者使用一個(gè)并不存在的源IP地址向目標(biāo)服務(wù)器發(fā)起連接，該服務(wù)器回應(yīng)SYN/ACK消息作為響應(yīng)，由于應(yīng)答消息的目的地址并不是攻擊者的實(shí)際地址，所以這個(gè)地址將無法對(duì)服務(wù)器進(jìn)行響應(yīng)。因此，TCP握手的最后一個(gè)步驟將永遠(yuǎn)不可能發(fā)生，該連接就一直處于半開狀態(tài)直到連接超時(shí)后被刪除。如果攻擊者用快于服務(wù)器TCP連接超時(shí)的速度，連續(xù)對(duì)目標(biāo)服務(wù)器開放的端口發(fā)送SYN報(bào)文，服務(wù)器的所有TCB資源都將被消耗，以至于不能再接受其他客戶端的正常連接請(qǐng)求。為

8、保證服務(wù)器能夠正常提供基于TCP協(xié)議的業(yè)務(wù)，防火墻必須能夠利用有效的技術(shù)瓦解以及主動(dòng)防御SYN Flood攻擊。技術(shù)優(yōu)點(diǎn)H3C在SYN Flood 攻擊防范技術(shù)的實(shí)現(xiàn)上具有以下四個(gè)方面的特色。支持基于安全區(qū)域的配置方式H3C實(shí)現(xiàn)的SYN Flood攻擊防范支持基于安全區(qū)域的配置方式，所有攻擊檢測策略均配置在安全區(qū)域上，配置簡潔又不失靈活性，既降低網(wǎng)絡(luò)管理員配置負(fù)擔(dān)，又能滿足復(fù)雜組網(wǎng)情況下針對(duì)安全區(qū)域?qū)嵤┎煌舴婪恫呗缘囊?。提供豐富的告警日志信息H3C實(shí)現(xiàn)的SYN Flood攻擊防范功能可提供豐富的告警日志信息，可以與第三方軟件配合使用，其日志和審計(jì)功能不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測，還能對(duì)攻

9、擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。精確阻斷攻擊流量H3C實(shí)現(xiàn)的SYN Flood攻擊防范功能采用基于行為模式的異常檢測算法對(duì)目標(biāo)服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行檢測，通過實(shí)時(shí)跟蹤TCP服務(wù)器連接的狀態(tài)機(jī)協(xié)商過程，能夠有效區(qū)分攻擊流量和正常流量，從而精確阻斷攻擊流量。提供靈活的防范措施針對(duì)SYN Flood攻擊，H3C防火墻提供了靈活的防范措施，可根據(jù)用戶的實(shí)際需要，選擇對(duì)攻擊行為進(jìn)行日志輸出、報(bào)文丟棄、啟用SYN Cookie防護(hù)功能、啟用Safe Reset防護(hù)功能、通知服務(wù)器釋放無效半開連接等防范動(dòng)作。技術(shù)實(shí)現(xiàn)在Internet上，公共服務(wù)器是SYN Flood

10、攻擊實(shí)施的主要對(duì)象。Internet上任何客戶端向某個(gè)特定的公共服務(wù)器發(fā)起訪問時(shí)，其目的IP地址必定是公共服務(wù)器對(duì)外公開的IP地址。H3C防火墻通過攻擊檢測技術(shù)，統(tǒng)計(jì)和分析向公共服務(wù)器發(fā)起的所有連接的行為特征，來檢測和識(shí)別攻擊報(bào)文。在檢測到針對(duì)服務(wù)器的SYN Flood攻擊行為后，H3C防火墻可以支持選擇多種應(yīng)對(duì)攻擊的防范措施，主要包括兩大類：連接限制技術(shù)：采用 SYN Flood 攻擊防范檢測技術(shù)，對(duì)網(wǎng)絡(luò)中的新建 TCP 半開連接數(shù)和新建 TCP 連接速率進(jìn)行實(shí)時(shí)檢測，通過設(shè)置檢測閾值來有效地發(fā)現(xiàn)攻擊流量，然后通過阻斷新建連接或釋放無效連接來抵御 SYN Flood 攻擊。連接代理技術(shù)：采用

11、 SYN Cookie 或 Safe Reset 技術(shù)對(duì)網(wǎng)絡(luò)中的 TCP 連接進(jìn)行代理，通過精確的驗(yàn)證來準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，實(shí)現(xiàn)為服務(wù)器過濾掉惡意連接報(bào)文的同時(shí)保證常規(guī)業(yè)務(wù)的正常運(yùn)行。連接代理技術(shù)除了可以對(duì)已檢測到攻擊的服務(wù)器進(jìn)行代理防范，也可以對(duì)可能的攻擊對(duì)象事先配置，做到全部流量代理，而非攻擊發(fā)生后再代理，這樣可以避免攻擊報(bào)文已經(jīng)造成一定損失。SYN Flood攻擊檢測技術(shù)根據(jù)統(tǒng)計(jì)對(duì)象的不同特征，SYN Flood攻擊檢測可分為兩種類型：半開連接數(shù)檢測、新建連接速率檢測。半開連接數(shù)檢測原理介紹當(dāng)惡意客戶端向目標(biāo)服務(wù)器發(fā)起SYN Flood 攻擊時(shí)，如果惡意客戶端采用了仿冒的源IP，那么在目

12、標(biāo)服務(wù)器上會(huì)存在大量半開連接。這類半開連接與正常的半開連接的區(qū)別在于，正常半開連接會(huì)隨著客戶端和服務(wù)器端握手報(bào)文的交互完成而轉(zhuǎn)變成全連接，而仿冒源IP的半開連接永遠(yuǎn)不會(huì)完成握手報(bào)文的交互。SYN SYN/ACK SYN SYN/ACKSYNSYN/ACK SYN SYN/ACK SYNSYN/ACK SYN SYN/ACK半開連接數(shù)閾值SYNServerFirewallClient為有效區(qū)分仿冒半開連接和正常半開連接，防火墻就需要實(shí)時(shí)記錄所有客戶端向服務(wù)器發(fā)起的所有半開連接數(shù)和完成了握手交互且轉(zhuǎn)變?yōu)槿B接的半開連接數(shù)，二者之差（即未完成的半連接數(shù)）在服務(wù)器未受到攻擊時(shí)會(huì)保持在一個(gè)相對(duì)恒定的范圍

13、內(nèi)。如果未完成的半連接數(shù)突然增多，甚至接近服務(wù)器的資源分配上限時(shí)就可以懷疑此時(shí)服務(wù)器正受到異常流量的攻擊。圖3 半開連接數(shù)檢測示意圖如 HYPERLINK l _bookmark3 圖3所示，管理員可以根據(jù)被保護(hù)服務(wù)器的處理能力設(shè)置半開連接數(shù)閾值。如果服務(wù)器無法處理客戶端所有連接請(qǐng)求，就會(huì)導(dǎo)致未完成的半開連接數(shù)（即客戶端向服務(wù)器發(fā)起的所有半開連接數(shù)和完成了握手交互變成全連接的半開連接數(shù)之差）超過指定閾值，此時(shí)防火墻可以判定服務(wù)器正在遭受SYN Flood 攻擊。應(yīng)用限制半開連接數(shù)統(tǒng)計(jì)要求防火墻能夠記錄客戶端到服務(wù)器端的所有連接狀態(tài)。即，客戶端和服務(wù)器端的報(bào)文都需要經(jīng)過防火墻處理。因此，基于半開

14、連接數(shù)的統(tǒng)計(jì)檢測需要防火墻部署在所保護(hù)的服務(wù)器出口和入口的關(guān)鍵路徑上。新建連接速率檢測原理介紹當(dāng)惡意客戶端向目標(biāo)服務(wù)器發(fā)起SYN Flood攻擊時(shí)，不管惡意客戶端采用仿冒源IP 手段還是使用真實(shí)的客戶端，其呈現(xiàn)的結(jié)果就是發(fā)往服務(wù)器的報(bào)文會(huì)在短時(shí)間內(nèi)大量增加。惡意客戶端發(fā)向服務(wù)器的報(bào)文中，一部分是新建連接的報(bào)文，一部分是已建立連接的后續(xù)數(shù)據(jù)報(bào)文。H3C防火墻通過記錄每秒新建連接的數(shù)量，并與設(shè)定的閾值進(jìn)行比較來判斷向目標(biāo)服務(wù)器發(fā)起SYN Flood攻擊行為是否發(fā)生，若達(dá)到或超過，則認(rèn)為攻擊行為發(fā)生。圖4 新建連接速率檢測示意圖如 HYPERLINK l _bookmark4 圖4所示，在對(duì)被保護(hù)服

15、務(wù)器進(jìn)行監(jiān)測時(shí)，防火墻在一秒的時(shí)間間隔內(nèi)統(tǒng)計(jì)客戶端向服務(wù)器發(fā)起的新建連接請(qǐng)求數(shù)量，作為當(dāng)前的新建請(qǐng)求速率。當(dāng)新建連接請(qǐng)求速率超過指定閾值時(shí)，防火墻設(shè)備可以認(rèn)為服務(wù)器可能遭受了SYN Flood攻擊。應(yīng)用限制新建連接數(shù)統(tǒng)計(jì)要求防火墻能夠記錄客戶端到服務(wù)器端的所有新建連接個(gè)數(shù)。即， 客戶端發(fā)往服務(wù)器端的報(bào)文必須要經(jīng)過防火墻處理。因此，基于新建連接數(shù)的統(tǒng)計(jì)檢測需要防火墻部署在所保護(hù)的服務(wù)器入口的關(guān)鍵路徑上。SYN Flood攻擊防范技術(shù)H3C防火墻可以支持選擇多種應(yīng)對(duì)攻擊的防范措施，主要包括以下四種技術(shù)：阻斷新建連接通過隨時(shí)阻斷服務(wù)器處理能力之外的新建連接來減輕服務(wù)器的被攻擊程度。釋放無效連接通過在

16、攻擊發(fā)生后通知服務(wù)器釋放無效連接來協(xié)助服務(wù)器及時(shí)恢復(fù)服務(wù)能力。SYN Cookie 和 Safe Reset通過驗(yàn)證發(fā)起連接的客戶端的合法性，使服務(wù)器免受 SYN Flood 攻擊。這兩種技術(shù)適用于不同的組網(wǎng)需求。阻斷新建連接原理介紹實(shí)際上，最簡單的防范方法就是暫時(shí)阻止任何客戶端向服務(wù)器發(fā)起的新建連接請(qǐng)求。阻斷新建連接的時(shí)機(jī)是由SYN Flood攻擊檢測發(fā)現(xiàn)攻擊決定的，只要防火墻發(fā)現(xiàn)連接數(shù)閾值（半開連接數(shù)閾值、新建連接數(shù)閾值）被超過時(shí)，就開始阻斷新建連接來防范攻擊行為。關(guān)于SYN Flood攻擊檢測技術(shù)的詳細(xì)介紹請(qǐng)參見“ HYPERLINK l _bookmark2 2.1 HYPERLINK

17、 l _bookmark2 SYN HYPERLINK l _bookmark2 Flood攻擊檢測技術(shù)”。下面是分別通過兩種檢測技術(shù)發(fā)現(xiàn)攻擊后的連接阻斷處理過程。半開連接數(shù)限制如 HYPERLINK l _bookmark6 圖5所示，防火墻檢測到客戶端與服務(wù)器之間的當(dāng)前半開連接數(shù)目超過半開連接數(shù)閾值時(shí)，所有后續(xù)的新建連接請(qǐng)求報(bào)文都會(huì)被丟棄，直到服務(wù)器完成當(dāng)前的半開連接處理，或當(dāng)前的半開連接數(shù)降低到安全閾值時(shí)，防火墻才會(huì)放開限制，重新允許客戶端向服務(wù)器發(fā)起新建連接請(qǐng)求。SYN SYN/ACK SYN SYN/ACKSYNSYN/ACK SYN SYN/ACK SYNSYN/ACK SYN S

18、YN/ACK半開連接數(shù)閾值SYN丟棄報(bào)文ServerFirewallClient圖5 半開連接數(shù)限制示意圖新建連接數(shù)限制如 HYPERLINK l _bookmark6 圖6所示，防火墻對(duì)新建連接報(bào)文的速率進(jìn)行統(tǒng)計(jì)，只允許新建連接速率不超過閾值情況下的新建連接報(bào)文通過，超過閾值之后的新建連接報(bào)文都被丟棄。直到每秒客戶端向服務(wù)器發(fā)起的連接請(qǐng)求降低到安全閾值以下時(shí)，防火墻才會(huì)放開限制， 重新允許客戶端向服務(wù)器發(fā)起新建連接請(qǐng)求。圖6 新建連接速率限制示意圖應(yīng)用限制阻斷新建連接功能為防火墻檢測到SYN Flood攻擊后的基本處理手段。在服務(wù)器受到SYN Flood攻擊時(shí)，防火墻能在服務(wù)器處理新建連接報(bào)

19、文之前將其阻斷，削弱了網(wǎng)絡(luò)攻擊對(duì)服務(wù)器的影響，但無法在服務(wù)器被攻擊時(shí)有效提升服務(wù)器的服務(wù)能力。因此，該功能一般用于配合防火墻SYN Flood攻擊檢測，避免瞬間高強(qiáng)度攻擊使服務(wù)器系統(tǒng)崩潰。釋放無效連接原理介紹正如 HYPERLINK l _bookmark3 2.1.1 HYPERLINK l _bookmark3 半開連接數(shù)檢測中所描述，當(dāng)服務(wù)器上的半開連接過多時(shí)，其正在處理的半開連接中可能存在惡意客戶端仿冒源IP發(fā)起的無效連接。為了不讓仿冒源IP發(fā)起的無效連接占用服務(wù)器的資源，防火墻需要在所有半開連接中識(shí)別出無效連接， 通知服務(wù)器釋放這這些無效連接。防火墻通過模擬無效連接的五元組信息（源I

20、P地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型），向服務(wù)器發(fā)送RST報(bào)文（連接重置報(bào)文）通知服務(wù)器釋放無效連接。應(yīng)用限制釋放無效連接功能是一種防火墻檢測到攻擊后的基本處理手段，在服務(wù)器受到SYN Flood攻擊的情況下，能夠通知服務(wù)器釋放被惡意攻擊報(bào)文占用的資源，使服務(wù)器得以恢復(fù)正常服務(wù)。在服務(wù)器受到SYN Flood攻擊時(shí)，此功能主要用于加速被攻擊服務(wù)器的恢復(fù)速度，卻無法阻止惡意客戶端繼續(xù)攻擊服務(wù)器。因此，該功能一般用于配合防火墻SYN Flood檢測，在攻擊發(fā)生后減輕已發(fā)生的攻擊對(duì)服務(wù)器的影響。SYN Cookie技術(shù)原理介紹SYN Cookie借鑒了HTTP中Cookie的概念。S

21、YN Cookie技術(shù)可理解為，防火墻對(duì)TCP新建連接的協(xié)商報(bào)文進(jìn)行處理，使其攜帶認(rèn)證信息（稱之為Cookie），再通過驗(yàn)證客戶端回應(yīng)的協(xié)商報(bào)文中攜帶的信息來進(jìn)行報(bào)文有效性確認(rèn)的一種技術(shù)。 HYPERLINK l _bookmark8 如圖 HYPERLINK l _bookmark8 7所示，該技術(shù)的實(shí)現(xiàn)機(jī)制是防火墻在客戶端與服務(wù)器之間做連接代理，具體過程如下：SYNSYN/ACK（Cookie）ACK分配TCB資源SYNSYN/ACKACKData (x)(7) Data (x)Data (y)Data (y)ServerFirewallClient圖7 防火墻使用SYN Cookie防范

22、SYN Flood攻擊客戶端向服務(wù)器發(fā)送一個(gè) SYN 消息。SYN 消息經(jīng)過防火墻時(shí)，防火墻截取該消息，并模擬服務(wù)器向客戶端回應(yīng)SYN/ACK 消息。其中，SYN/ACK 消息中的序列號(hào)為防火墻計(jì)算的 Cookie， 此 Cookie 值是對(duì)加密索引與本次連接的客戶端信息（如：IP 地址、端口號(hào)）進(jìn)行加密運(yùn)算的結(jié)果?？蛻舳耸盏?SYN/ACK 報(bào)文后向服務(wù)器發(fā)送 ACK 消息進(jìn)行確認(rèn)。防火墻截取這個(gè)消息后，提取該消息中的 ACK 序列號(hào)，并再次使用客戶端信息與加密索引計(jì)算 Cookie。如果計(jì)算結(jié)果與 ACK 序列號(hào)相符，就可以確認(rèn)發(fā)起連接請(qǐng)求的是一個(gè)真實(shí)的客戶端。如果客戶端不回應(yīng) ACK 消

23、息，就意味著現(xiàn)實(shí)中并不存在這個(gè)客戶端，此連接是一個(gè)仿冒客戶端的攻擊連接；如果客戶端回應(yīng)的是一個(gè)無法通過檢測的 ACK 消息，就意味著此客戶端非法，它僅想通過模擬簡單的 TCP 協(xié)議棧來耗費(fèi)服務(wù)器的連接資源。來自仿冒客戶端或非法客戶端的后續(xù)報(bào)文都會(huì)被防火墻丟棄，而且防火墻也不會(huì)為此分配 TCB 資源。如果防火墻確認(rèn)客戶端的 ACK 消息合法，則模擬客戶端向服務(wù)器發(fā)送一個(gè)SYN 消息進(jìn)行連接請(qǐng)求，同時(shí)分配 TCB 資源記錄此連接的描述信息。此TCB 記錄了防火墻向服務(wù)器發(fā)起的連接請(qǐng)求的信息，同時(shí)記錄了步驟（2） 中客戶端向服務(wù)器發(fā)起的連接請(qǐng)求的信息。服務(wù)器向防火墻回應(yīng) SYN/ACK 消息。防火墻

24、收到服務(wù)器的 SYN/ACK 回應(yīng)消息后，根據(jù)已有的連接描述信息，模擬客戶端向服務(wù)器發(fā)送 ACK 消息進(jìn)行確認(rèn)。完成以上過程之后，客戶端與防火墻之間建立了連接，防火墻與服務(wù)器之間也建立了連接，客戶端與服務(wù)器間關(guān)于此次連接的后續(xù)數(shù)據(jù)報(bào)文都將通過防火墻進(jìn)行代理轉(zhuǎn)發(fā)。防火墻的SYN Cookie技術(shù)利用SYN/ACK報(bào)文攜帶的認(rèn)證信息，對(duì)握手協(xié)商的ACK 報(bào)文進(jìn)行了認(rèn)證，從而避免了防火墻過早分配TCB資源。當(dāng)客戶端向服務(wù)器發(fā)送惡意SYN報(bào)文時(shí)，既不會(huì)造成服務(wù)器上TCB資源和帶寬的消耗，也不會(huì)造成防火墻TCB資源的消耗，可以有效防范SYN Flood攻擊。在防范SYN Flood攻擊的過程中，防火墻作

25、為虛擬的服務(wù)器與客戶端交互，同時(shí)也作為虛擬的客戶端與服務(wù)器交互，在為服務(wù)器過濾掉惡意連接報(bào)文的同時(shí)保證了常規(guī)業(yè)務(wù)的正常運(yùn)行。應(yīng)用限制由于SYN Cookie技術(shù)最終是依靠防火墻對(duì)客戶端與服務(wù)器之間的所有連接報(bào)文進(jìn)行代理實(shí)現(xiàn)的，因此要求防火墻設(shè)備必須部署在所保護(hù)的服務(wù)器入口和出口的關(guān)鍵路徑上，保證所有客戶端向服務(wù)器發(fā)送的報(bào)文以及服務(wù)器向客戶端回應(yīng)的報(bào)文都需要經(jīng)過該設(shè)備。Safe Reset技術(shù)原理介紹Safe Reset技術(shù)是防火墻通過對(duì)正常TCP連接進(jìn)行干預(yù)來識(shí)別合法客戶端的一種技術(shù)。防火墻對(duì)TCP新建連接的協(xié)商報(bào)文進(jìn)行處理，修改響應(yīng)報(bào)文的序列號(hào)并使其攜帶認(rèn)證信息（稱之為Cookie），再通過

26、驗(yàn)證客戶端回應(yīng)的協(xié)商報(bào)文中攜帶的信息來進(jìn)行報(bào)文有效性確認(rèn)。SYNSYN/ACK（Cookie）RST分配TCB資源(4) SYN SYN/ACKACKACKServerFirewallClient防火墻在利用Safe Reset技術(shù)認(rèn)證新建連接的過程中，對(duì)合法客戶端的報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，對(duì)仿冒客戶端以及簡單模擬TCP協(xié)議棧的惡意客戶端發(fā)起的新建連接報(bào)文進(jìn)行丟棄，這樣服務(wù)器就不會(huì)為仿冒客戶端發(fā)起的SYN報(bào)文分配連接資源，從而避免了SYN Flood 攻擊。如 HYPERLINK l _bookmark9 圖8所示，Safe Reset技術(shù)的實(shí)現(xiàn)過程如下：圖8 防火墻使用Safe Reset防范SY

27、N Flood攻擊客戶端向服務(wù)器發(fā)送一個(gè) SYN 消息。SYN 消息經(jīng)過防火墻時(shí)，防火墻截取該消息，并模擬服務(wù)器向客戶端回應(yīng)SYN/ACK 消息。其中，SYN/ACK 消息中的 ACK 序列號(hào)與客戶端期望的值不一致，同時(shí)攜帶 Cookie 值。此 Cookie 值是對(duì)加密索引與本次連接的客戶端信息（包括：IP 地址、端口號(hào)）進(jìn)行加密運(yùn)算的結(jié)果。客戶端按照協(xié)議規(guī)定向服務(wù)器回應(yīng) RST 消息。防火墻中途截取這個(gè)消息后， 提取消息中的序列號(hào)，并對(duì)該序列號(hào)進(jìn)行 Cookie 校驗(yàn)。成功通過校驗(yàn)的連接被認(rèn)為是可信的連接，防火墻會(huì)分配 TCB 資源記錄此連接的描述信息，而不可信連接的后續(xù)報(bào)文會(huì)被防火墻丟棄

28、。完成以上過程之后，客戶端再次發(fā)起連接請(qǐng)求，防火墻根據(jù)已有的連接描述信息判斷報(bào)文的合法性，對(duì)可信連接的所有合法報(bào)文直接放行。由于防火墻僅通過對(duì)客戶端向服務(wù)器首次發(fā)起連接的報(bào)文進(jìn)行認(rèn)證，就能夠完成對(duì)客戶端到服務(wù)器的連接檢驗(yàn)，而服務(wù)器向客戶端回應(yīng)的報(bào)文即使不經(jīng)過防火墻也不會(huì)影響正常的業(yè)務(wù)處理，因此Safe Reset技術(shù)也稱為單向代理技術(shù)。一般而言，應(yīng)用服務(wù)器不會(huì)主動(dòng)對(duì)客戶端發(fā)起惡意連接，因此服務(wù)器響應(yīng)客戶端的報(bào)文可以不需要經(jīng)過防火墻的檢查。防火墻僅需要對(duì)客戶端發(fā)往應(yīng)用服務(wù)器的報(bào)文進(jìn)行實(shí)時(shí)監(jiān)控。服務(wù)器響應(yīng)客戶端的報(bào)文可以根據(jù)實(shí)際需要選擇是否經(jīng)過防火墻， 因此Safe Reset能夠支持更靈活的組網(wǎng)

29、方式。應(yīng)用限制Safe Reset 技術(shù)要求防火墻設(shè)備部署在所保護(hù)的服務(wù)器入口的關(guān)鍵路徑上。但僅需保證所有客戶端到服務(wù)器報(bào)文都必須經(jīng)過該設(shè)備，對(duì)服務(wù)器端發(fā)出的報(bào)文是否經(jīng)該設(shè)備沒有嚴(yán)格要求。從組網(wǎng)要求來看，Safe Reset 比 SYN Cookie 適應(yīng)性更強(qiáng)。由于防火墻對(duì)客戶端發(fā)起的 TCP 連接進(jìn)行了干預(yù)，因此 Safe Reset 技術(shù)的實(shí)現(xiàn)要求客戶端的實(shí)現(xiàn)嚴(yán)格遵守 TCP 協(xié)議棧的規(guī)定，如果客戶端的 TCP 協(xié)議棧實(shí)現(xiàn)不完善，即便是合法用戶，也可能由于未通過防火墻的嚴(yán)格檢查而無法訪問服務(wù)器。Safe Reset 技術(shù)依賴于客戶端向服務(wù)器發(fā)送 RST 報(bào)文后再次發(fā)起請(qǐng)求的功能，因此應(yīng)用 Safe Reset 技術(shù)后，客戶端發(fā)起的每個(gè) TCP 連接的建立