SynDemo TCP-SYN半连接攻击原理分析
--融合管理系统之内网安全篇
关键字:融合网络;DDOS攻击;SynDemo;网吧安全;融合管理系统;
一、前言:
近期,网络上出现了一种特殊的DDOS类攻击软件(SynDemo)。该软件不同于以往的攻击软件,它可以模拟内网真实机器的IP,对网关设备进行恶意的TCP-SYN半连接攻击,从而使得整个内网中的PC都无法正常上网,很多深受其害的用户可谓苦不堪言。而目前网络产品市场上,很少有能成功识别该类攻击并实施相关防御措施的网络设备。
二、SynDemo TCP-SYN半连接攻击原理分析:
该攻击软件与传统的DDOS攻击软件很不一样,普通的DDOS攻击软件只是保证伪装的IP地址属于内网网段就开始发动攻击,针对此类攻击,一般具有安全功能的网关设备(路由器、防火墙等)都可以防御住此类攻击。但是SynDemo这款软件却与其他DDOS攻击软件有所不同,它首先会判断攻击源所处的IP地址段,向内网广播该网段的ARP请求报文,当真实IP地址接受到相关ARP请求报文后,会发送ARP的应答报文,这样,该软件就能够知道,在该网段内的真实IP与MAC对应关系,从而在攻击的时候骗取到网关设备的信任。
然后,SynDemo会根据这些真实的IP信息,模拟真实的HTTP报文发给网关设备。当网关设备接受到这些看似"正常"的报文后,就不会将这些"合法"报文丢弃,但是SynDemo会高密度的连续地发送这些报文,导致在一定时间内网关设备的NAT状态表被这些看似合法的半链接"填满",无法处理那些用于正常上网的数据包,使得内网的所有机器上网速度越来越慢,最后导致整个内网的机器都无法正常上网。
三、融合管理系统配合融合网络交换机如何做到高效的内网安全?
1、内网安全一体化防御功能
内网安全防御功能一共提供了两种防御模式:动态防御和静态防御。动态防御模式下,交换机会动态学习到的PC的IP和MAC地址信息以及对应的端口号,并将其对应关系进行绑定,此时,任何伪装绑定信息的端口、MAC或IP而生成的ARP信息都无法在局域网内传播,可以有效的防御ARP病毒。在静态防御模式下,除了动态绑定的实现的ARP病毒防御外,还能通过特定的算法,对局域网内的TCP-SYN半连接恶意攻击进行防御,比如本文重点提及的DDOS类攻击软件(SynDemo)。
2、智能化异常端口安全功能
在现有的各品牌交换机中,如果遭遇到非常强烈的ARP攻击,使得交换机的CPU需要花费大量的精力去处理ARP报文,导致其他数据包的转发无法正常进行,从而使得局域网内的PC出现上网速度缓慢甚至断网的严重后果。针对此类情况,融合网络交换机提供了智能化的异常端口关闭功能,该功能会在强烈的ARP攻击导致局域网内上网速度缓慢的情况时自动关闭遭受攻击的端口,使其不能影响交换机整体转发性能,保障网络正常运行。
四、完美解决SynDemo攻击的过程:
1、环境准备
2、SynDemo攻击
【1】开启SynDemo攻击,对内网网关(192.168.2.99)进行攻击
源IP:192.168.2.201,
MAC:00-26-22-DC-78-75
攻击目标:192.168.2.99(内网网关)
攻击端口:80
开启攻击软件,如下图
使用科来抓包软件,如下图:
说明:开启该攻击软件后,通过抓包数据分析可以发现该软件会发送ARP报文查询来查找内网所有存在的PC地址,然后模拟这些获取到的地址向内网网关发送TCP-SYN的半连接报文。
【2】不开启内网安全功能下的攻击
首先通过融合管理系统的内网安全界面或交换机的WEB界面内网安全功能绑定状态,如下图:
然后在内网中的任一主机上PING www.union-net.cn -t 。发现无法PING通外网地址,具体如下图:
通过上述过程,我们可以发现,局域网内的交换机如果不具有完善的内网安全功能,是无法防御住此类攻击,在SynDemo软件攻击后,局域网内的所有机器都无法访问外网,该恶意软件攻击成功。
网友评论