TCP连接攻击

TCP连接耗尽攻击与防御原理

攻击原理

连接耗尽攻击是指攻击者通过僵尸网络，向服务器发起大量的TCP连接，耗尽服务器的TCP连接资源。连接耗尽一般有以下几种攻击类型：

• 完成三次握手后，不发送任何报文，一直维持这些TCP连接。
• 完成三次握手后，立刻发送FIN或RST报文，释放本端连接，同时快速发起新的连接。
• 连接过程中呈现给服务器端很小的TCP windows size，导致服务器TCP协议栈资源耗尽。
• 发送大量TCP重传请求，以很小的流量即可导致被攻击网络上行链路拥塞。

防御原理

针对此攻击会耗尽服务器的TCP连接资源的特点，Anti-DDoS设备对目的IP地址的新建连接速率和并发连接数分布进行统计，当新建连接速率或并发连接数大于阈值时，则触发对源IP地址的相应检查，当检查发现异常时，将异常源IP地址加入黑名单，切断其TCP流量。

• 源IP地址新建连接速率检查：启动源IP地址新建连接速率检查后，如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值，则将该源IP地址判定为攻击源。
• 源IP地址并发连接数检查：启动源IP地址并发连接数检查后，如果某个源IP地址的TCP并发连接数大于阈值，则将该源IP地址判定为攻击源。
• 慢速连接速率检查：启动慢速连接速率检查后，统计同一源IP地址对同一目的IP地址的连接次数，在各统计时间间隔内，如果连续多次连接数相同并超过阈值，则判定为TCP慢速连接攻击。

• 异常会话检查：如果在检查周期内，某个源IP地址发起的TCP异常会话的连接数大于阈值时，则将该源IP地址判定为攻击源。判定TCP异常会话依据如下：

  • 空连接检查：如果在检查周期内，在某条TCP连接上通过的报文数小于阈值，则判定该连接为异常连接。
  • 重传会话检查：当某条TCP连接上重传报文数量大于阈值时，则判定该连接为异常连接。
  • 慢启动连接检查：当某条TCP连接上通过的报文窗口小于阈值时，则判定该连接为异常连接。

  当异常会话数超过一定数量时，将此源加入黑名单。异常会话数量可配置。

                                   记录一下，面试者问我tcp连接一直来，怎么防，我他妈哪里知道啊....