电子发烧友App
创作
发文章
发帖 
提问 
发资料
发视频资料介绍
介绍了SYN Flood攻击的原理,分析了基于异常检测的入侵检测方法,利用信息论的相关原理,通过对到达目的IP和目的端口的SYN包的概率统计,计算其异常值并和门限值比较,有效地检测出SYN Flood攻击。以预处理插件的形式,将Anti SYN Flood的模块加入到入侵检测系统中,给出了检测流程、主要数据结构和程序框架,并作了相应的测试。
关 键 词 异常入侵检测系统; 同步洪水攻击; 传输控制协议; 信息量
中图分类号 TP309 文献标识码 A
Implement of Anti SYN Flood
Cheng Jin Luo Kelu
(School of Computer Science and Engineering, UEST of China Chengdu 610054)
Abstract The opening of Internet offers great convenience of information sharing and exchange, accompanied with crucial challenges to network security. Security issues have evolved into the key problem of information times. SYN flood is one of deny of service attacks through sending a lot of SYN packets. Through computing probabilities of received SYN packets and comparing with normal threshold, system finds out the SYN intrusion and writes it into alert log file.
Key words anomaly-based; SYN flood; transfer control protocol; information
互联网的开放性为信息的共享和交互提供了极大的便利,但同时也对网络的安全性提出了严峻的挑战。随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,网络安全也向着纵深化、多样化方向发展。与此同时,网络环境也变得越来越复杂,各种复杂的设备需要不断升级、补漏,使网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患,网络安全已成为信息时代的关键问题[1,2]。
1 SYN Flood攻击原理
SYN Flood是当前最流行的拒绝服务攻击(Deny of Service, DOS)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式[3]。TCP协议是专门用在不可靠的因特网上提供可靠、端到端的字节流通信协议,即为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路。客户端先发送一个包含SYN标志的TCP报文,向服务器表示需要连接,然后等待服务的响应,SYN报文会指明客户端使用的端口以及TCP连接的初始序号(SEQ=x);服务器收到客户端的SYN报文的连接请求后,查看是否在LISTEN的是指定的端口,如果不是,服务器就发送RST=1应答,拒绝建立连接,如果接受连接,服务器将返回一个SYN+ACK的报文,同时TCP序号被加一(SYN=y,ACK=x+1),表示服务器已连接好,等待客户端对服务器SYN的确认;客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一(SYN=x+1,ACK=y+1)。TCP连接完成后,双方就可以发送数据,该过程在TCP协议中被称为三次握手。
在恶意攻击情况下,攻击者大量伪造IP数据包向服务器发送,请求新的连接,导致服务器端为了维护一个较大的半连接列表而消耗非常多的资源。特别是攻击者以比服务器丢弃未完成的连接更快的速度发送伪造IP的数据包,情况更为恶劣。即使服务器端的系统足够强大,服务器也将忙于处理攻击者伪造的TCP连接请求而无暇满足客户的正常请求(该情况下客户端的正常请求比率已非常小),此时服务器失去响应,即服务器端受到了SYN Flood攻击。
2 基于异常的Anti SYN Flood实现
2.1 检测原理
异常检测是目前入侵检测系统的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键在于正常使用模式(Normal Usage Profile)的建立以及利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式通常使用一组系统的度量来定义,每个度量都对应于一个门限值或相关的变动范围,例如检查CPU利用率是否猛烈增长、内存占用率激增、用户登录失败次数增加、文件锁定过多等。
关 键 词 异常入侵检测系统; 同步洪水攻击; 传输控制协议; 信息量
中图分类号 TP309 文献标识码 A
Implement of Anti SYN Flood
Cheng Jin Luo Kelu
(School of Computer Science and Engineering, UEST of China Chengdu 610054)
Abstract The opening of Internet offers great convenience of information sharing and exchange, accompanied with crucial challenges to network security. Security issues have evolved into the key problem of information times. SYN flood is one of deny of service attacks through sending a lot of SYN packets. Through computing probabilities of received SYN packets and comparing with normal threshold, system finds out the SYN intrusion and writes it into alert log file.
Key words anomaly-based; SYN flood; transfer control protocol; information
互联网的开放性为信息的共享和交互提供了极大的便利,但同时也对网络的安全性提出了严峻的挑战。随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,网络安全也向着纵深化、多样化方向发展。与此同时,网络环境也变得越来越复杂,各种复杂的设备需要不断升级、补漏,使网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患,网络安全已成为信息时代的关键问题[1,2]。
1 SYN Flood攻击原理
SYN Flood是当前最流行的拒绝服务攻击(Deny of Service, DOS)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式[3]。TCP协议是专门用在不可靠的因特网上提供可靠、端到端的字节流通信协议,即为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路。客户端先发送一个包含SYN标志的TCP报文,向服务器表示需要连接,然后等待服务的响应,SYN报文会指明客户端使用的端口以及TCP连接的初始序号(SEQ=x);服务器收到客户端的SYN报文的连接请求后,查看是否在LISTEN的是指定的端口,如果不是,服务器就发送RST=1应答,拒绝建立连接,如果接受连接,服务器将返回一个SYN+ACK的报文,同时TCP序号被加一(SYN=y,ACK=x+1),表示服务器已连接好,等待客户端对服务器SYN的确认;客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一(SYN=x+1,ACK=y+1)。TCP连接完成后,双方就可以发送数据,该过程在TCP协议中被称为三次握手。
在恶意攻击情况下,攻击者大量伪造IP数据包向服务器发送,请求新的连接,导致服务器端为了维护一个较大的半连接列表而消耗非常多的资源。特别是攻击者以比服务器丢弃未完成的连接更快的速度发送伪造IP的数据包,情况更为恶劣。即使服务器端的系统足够强大,服务器也将忙于处理攻击者伪造的TCP连接请求而无暇满足客户的正常请求(该情况下客户端的正常请求比率已非常小),此时服务器失去响应,即服务器端受到了SYN Flood攻击。
2 基于异常的Anti SYN Flood实现
2.1 检测原理
异常检测是目前入侵检测系统的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键在于正常使用模式(Normal Usage Profile)的建立以及利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式通常使用一组系统的度量来定义,每个度量都对应于一个门限值或相关的变动范围,例如检查CPU利用率是否猛烈增长、内存占用率激增、用户登录失败次数增加、文件锁定过多等。
下载该资料的人也在下载
下载该资料的人还在阅读
更多 >
- syn6288语音合成模块资料分享 20次下载
- SYN8086语音合成芯片最全手册 5次下载
- 一种多维时间序列汽车驾驶异常点检测模型 2次下载
- 基于YOLO_v3与稀疏光流的人群异常行为识别 12次下载
- 集成流挖掘和图挖掘的内网异常检测方法 7次下载
- 可动态判别电网异常负荷的CNN阀值模型 12次下载
- 概况:MERANO-PD_FS000255_1-00.pdf
- SYN6658中文语音合成芯片用户手册免费下载 37次下载
- 基于OPNET的数字化变电站DoS攻击建模与仿真研究 1次下载
- SYN470R_SYN480R_数据手册 394次下载
- 防静电相关产品/ANTI-STATIC PRODUCTS
- SYN450R中文资料
- 基于主动网络威廉希尔官方网站 防御SYN flooding的设计
- 一种基于SYN 漏洞的DDoS攻击防御算法的实现
- 基于VxWorks的异常处理的研究和实现
- 如何有效的处理空指针异常 1339次阅读
- C++程序异常处理机制是什么 744次阅读
- Python-模块、包、异常 629次阅读
- 基于机器学习的汽车CAN总线异常检测方法 995次阅读
- 使用MATLAB进行异常检测(下) 1989次阅读
- 基于异常检测的模型表现对比 1563次阅读
- 反爬虫组件kk-anti-reptile的工作流程与使用方法 1478次阅读
- 数据波动的异常判别方法 5999次阅读
- 机器学习中的异常检测 1888次阅读
- ARM异常中断的原因及处理措施 7799次阅读
- 什么是异常检测_异常检测的实用方法 1.8w次阅读
- 只需9个步骤,完美实现自动化运维异常处理! 2321次阅读
- 如何理解ARM异常、中断和向量表 4168次阅读
- 基于ARM处理器的高效异常处理解决方案 1286次阅读
- 基于Python 异常的介绍以及异常处理的方法解析 6173次阅读
下载排行
本周
- 1HFSS电磁仿真设计应用详解PDF电子教程免费下载
- 24.30 MB | 126次下载 | 1 积分
- 2H桥中的电流感测
- 545.39KB | 7次下载 | 免费
- 3雷达的基本分类方法
- 1.25 MB | 4次下载 | 4 积分
- 4I3C–下一代串行通信接口
- 608.47KB | 3次下载 | 免费
- 5电感威廉希尔官方网站 讲解
- 827.73 KB | 2次下载 | 免费
- 6从 MSP430™ MCU 到 MSPM0 MCU 的迁移指南
- 1.17MB | 2次下载 | 免费
- 7有源低通滤波器设计应用说明
- 1.12MB | 2次下载 | 免费
- 8RA-Eco-RA2E1-48PIN-V1.0开发板资料
- 35.59 MB | 2次下载 | 免费
本月
- 12024年工控与通信行业上游发展趋势和热点解读
- 2.61 MB | 763次下载 | 免费
- 2HFSS电磁仿真设计应用详解PDF电子教程免费下载
- 24.30 MB | 126次下载 | 1 积分
- 3继电保护原理
- 2.80 MB | 36次下载 | 免费
- 4正激、反激、推挽、全桥、半桥区别和特点
- 0.91 MB | 32次下载 | 1 积分
- 5labview实现DBC在界面加载配置
- 0.57 MB | 21次下载 | 5 积分
- 6在设计中使用MOSFET瞬态热阻抗曲线
- 1.57MB | 15次下载 | 免费
- 7GBT 4706.1-2024家用和类似用途电器的安全第1部分:通用要求
- 7.43 MB | 13次下载 | 免费
- 8PADS-3D库文件
- 2.70 MB | 10次下载 | 2 积分
总榜
- 1matlab软件下载入口
- 未知 | 935113次下载 | 10 积分
- 2开源硬件-PMP21529.1-4 开关降压/升压双向直流/直流转换器 PCB layout 设计
- 1.48MB | 420061次下载 | 10 积分
- 3Altium DXP2002下载入口
- 未知 | 233084次下载 | 10 积分
- 4电路仿真软件multisim 10.0免费下载
- 340992 | 191360次下载 | 10 积分
- 5十天学会AVR单片机与C语言视频教程 下载
- 158M | 183329次下载 | 10 积分
- 6labview8.5下载
- 未知 | 81578次下载 | 10 积分
- 7Keil工具MDK-Arm免费下载
- 0.02 MB | 73804次下载 | 10 积分
- 8LabVIEW 8.6下载
- 未知 | 65985次下载 | 10 积分
工商网监
评论