美國網(wǎng)站服務(wù)器TCP傳輸控制協(xié)議的英文全稱(chēng)為 Transport Control Protocol，是面向連接的可靠傳送服務(wù)。美國網(wǎng)站服務(wù)器在傳送數據時(shí)是分段進(jìn)行的，主機交換數據必須建立一個(gè)會(huì )話(huà)，它用比特流通信，即數據被作為無(wú)結構的字節流，通過(guò)每個(gè)TCP傳輸的字段指定順序號，以獲得可靠性。本文小編就來(lái)介紹下美國網(wǎng)站服務(wù)器TCP協(xié)議的漏洞以及防御方式。

TCP協(xié)議攻擊的主要問(wèn)題存在于TCP的三次握手協(xié)議上，美國網(wǎng)站服務(wù)器正常的TCP三次握手過(guò)程如下：

1、請求端A發(fā)送一個(gè)初始序號ISNa的SY報文。

2、被請求端B收到A的SYN報文后，發(fā)送給A自己的初始序列號ISNb，同時(shí)將 ISAT+1作為確認的SYN+ACK報文。

3、A對SYN+ACK報文進(jìn)行確認，同時(shí)將ISNa+1，ISNb+1發(fā)送給B，TCP連接完成。

針對TCP協(xié)議的攻擊的基本原理是：TCP協(xié)議三次握手沒(méi)有完成的時(shí)候，被請求端B一般都會(huì )重試并等待段時(shí)，這常常被用來(lái)進(jìn)行DOS、Land攻擊，一個(gè)特別打造的SYN包其原地址和目標地址都被設置成某一個(gè)服務(wù)器地址，此舉將導致接收的美國網(wǎng)站服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結果該地址又發(fā)回ACK消息并創(chuàng )建一個(gè)空連接，每一個(gè)這樣的連接都將保留直至超時(shí)，

一、攻擊實(shí)現

在 SYN Flood攻擊中，黑客機器向受害美國網(wǎng)站服務(wù)器發(fā)送大量偽造源地址的TCP SYN報文，受害美國網(wǎng)站服務(wù)器分配必要的資源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。由于源地址是偽造的，所以源端永遠都不會(huì )返回ACK報文，受害美國網(wǎng)站服務(wù)器繼續發(fā)送SYN+ACK包，并將半連接放入端口的積壓隊列中，雖然一般的美國網(wǎng)站服務(wù)器都有超時(shí)機制和默認的重傳次數，但是由于端口的半連接隊列的長(cháng)度是有限的，如果不斷地向受害主機發(fā)送大量的 TCP SYN報文，半連接隊列就會(huì )很快填滿(mǎn)，美國網(wǎng)站服務(wù)器拒絕新的連接，將導致該端口無(wú)法響應其他機器進(jìn)行的連接請求，最終使受害美國網(wǎng)站服務(wù)器的資源耗盡。

二、防御方法

針對 SYN Flood的攻擊防范措施主要有兩種，通過(guò)美國網(wǎng)站服務(wù)器防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護，以及通過(guò)加固TCP/IP協(xié)議棧防范。

網(wǎng)關(guān)防護的主要技術(shù)有：SYN- cookie技術(shù)和基于監控的源地址狀態(tài)、縮短 SYN Timeout時(shí)間。SYN- cookie技術(shù)實(shí)現了無(wú)狀態(tài)的握手，避免了 SYN Flood的資源消耗，基于監控的源地址狀態(tài)技術(shù)能夠對每一個(gè)連接美國網(wǎng)站服務(wù)器的IP地址的狀態(tài)進(jìn)行監控，主動(dòng)采取措施避免 SYN Flood攻擊的影響。

為防范SYN攻擊，美國網(wǎng)站服務(wù)器 Windows系統的TCP/IP協(xié)議內嵌了Synattackprotect機制。 Synat-tackprotect機制是通過(guò)關(guān)閉某些 socket選項，增加額外的連接指示和成少超時(shí)時(shí)間，使系統能處理更多的SYN連接，以達到防范SYN攻擊的目的。

當 Synattackprotect t值為0或不設置時(shí)，系統不受Synattackprotect保護。當Synattackprotect值為1時(shí)，美國網(wǎng)站服務(wù)器系統通過(guò)減少重傳次數和延遲未連接時(shí)路由緩沖項防范SYN攻擊。

對于美國網(wǎng)站服務(wù)器個(gè)人用戶(hù)來(lái)說(shuō)，可使用一些第三方的個(gè)人防火墻，對于美國網(wǎng)站服務(wù)器企業(yè)用戶(hù)則可以購買(mǎi)企業(yè)級防火墻硬件，都可有效地防范針對美國TCP三次握手的拒絕式服務(wù)攻擊。