首页 > 试题广场 >

下面关于synflood攻击的说法,错误的是()

[单选题]
下面关于synflood攻击的说法,错误的是()
  • 服务端由于连接队列被占满而不能对外服务
  • 不但能攻击TCP服务,还可以攻击UDP服务
  • 大量连接处于SYN_RECV状态
  • 使用硬件防火墙可以一定程度上抵御攻击
要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起:
大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:
首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。
第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。
问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
发表于 2015-11-24 09:10:26 回复(4)
这是明显的TCP系列问题。
【问题1】为什么连接的时候是三次握手,关闭的时候却是四次握手?

答:因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,"你发的FIN报文我收到了"。只有等到我Server端所有的报文都发送完了,我才能发送FIN报文,因此不能一起发送。故需要四步握手。

【问题2】为什么TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态?
首先补充:MSL是TCP报文里面最大生存时间,它是任何报文段被丢弃前在网络内的最长时间。
答:虽然按道理,四个报文都发送完毕,我们可以直接进入CLOSE状态了,但是我们必须假象网络是不可靠的,有可以最后一个ACK丢失。所以TIME_WAIT状态就是用来重发可能丢失的ACK报文。在Client发送出最后的ACK回复,但该ACK可能丢失。Server如果没有收到ACK,将不断重复发送FIN片段。所以Client不能立即关闭,它必须确认Server接收到了该ACK。Client会在发送出ACK之后进入到TIME_WAIT状态。Client会设置一个计时器,等待2MSL的时间。如果在该时间内再次收到FIN,那么Client会重发ACK并再次等待2MSL。所谓的2MSL是两倍的MSL(Maximum Segment Lifetime)。MSL指一个片段在网络中最大的存活时间,2MSL就是一个发送和一个回复所需的最大时间。如果直到2MSL,Client都没有再次收到FIN,那么Client推断ACK已经被成功接收,则结束TCP连接。
或者换一种更舒服的解释方法:
1)、由于客户端A最后一个ACK可能会丢失,这样B服务端就无法正常进入CLOSED状态。于是B会重传请求释放的报文,而此时A如果已经关闭了,那就收不到B的重传请求,就会导致B不能正常释放。而如果A还在等待时间内,就会收到B的重传,然后进行应答,这样B就可以进入CLOSED状态了。
2)、在这2MSL等待时间里面,本次连接的所有的报文都已经从网络中消失,从而不会出现在下次连接中。

【问题3】为什么不能用两次握手进行连接?

答:3次握手完成两个重要的功能,既要双方做好发送数据的准备工作(双方都知道彼此已准备好),也要允许双方就初始序列号进行协商,这个序列号在握手过程中被发送和确认。

       现在把三次握手改成仅需要两次握手,死锁是可能发生的。作为例子,考虑计算机S和C之间的通信,假定C给S发送一个连接请求分组,S收到了这个分组,并发 送了确认应答分组。按照两次握手的协定,S认为连接已经成功地建立了,可以开始发送数据分组。可是,C在S的应答分组在传输中被丢失的情况下,将不知道S 是否已准备好,不知道S建立什么样的序列号,C甚至怀疑S是否收到自己的连接请求分组。在这种情况下,C认为连接还未建立成功,将忽略S发来的任何数据分 组,只等待连接确认应答分组。而S在发出的分组超时后,重复发送同样的分组。这样就形成了死锁。

【问题4】如果已经建立了连接,但是客户端突然出现故障了怎么办?

TCP还设有一个保活计时器,显然,客户端如果出现故障,服务器不能一直等下去,白白浪费资源。服务器每收到一次客户端的请求后都会重新复位这个计时器,时间通常是设置为2小时,若两小时还没有收到客户端的任何数据,服务器就会发送一个探测报文段,以后每隔75秒钟发送一次。若一连发送10个探测报文仍然没反应,服务器就认为客户端出了故障,接着就关闭连接。

【问题5】TCP最后一次ACK包没有送到就开始传输数据包,会发生什么?
服务端不会接收数据包,还会返回客户端一个RST包,也就是异常包。

发表于 2020-04-04 14:11:32 回复(0)
SYN Flood攻击(SYN洪水攻击)是基于连接的
发表于 2016-09-26 13:34:04 回复(0)
选B
发表于 2016-01-19 16:28:06 回复(3)

synflood攻击一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。
具体介绍可见:https://www.cnblogs.com/popduke/p/5823801.html

发表于 2017-12-13 17:03:24 回复(0)
插眼
发表于 2023-09-08 01:04:47 回复(0)
来自于文心一样的解答:硬件***可以一定程度上抵御SYN Flood攻击。SYN Flood攻击是恶意客户端伪造IP发送大量SYN给服务器,但不进行第三次握手,导致服务器连接队列爆满无法对合法请求进行处理。硬件***的包过滤型***在路由器上对数据包进行分析,根据预设的规则屏蔽可疑数据包,在一定程度上能够抵御SYN Flood攻击。其他防范SYN Flood攻击的方法还包括配置SYN代理服务器和采用IP欺骗类攻击检测系统。
发表于 2023-08-18 07:22:21 回复(1)
我记得是半连接队列被占满,所以秒选了A哈哈哈哈
现在看一下,B错的更离谱
发表于 2023-07-10 16:16:35 回复(0)
SYN是TCP建立连接的同步序列编号,udp不建立连接,该攻击就无从发生
发表于 2019-12-26 22:04:24 回复(0)
来自百度的tcp和udp的区别 1、连接方面区别 TCP面向连接(如打电话要先拨号建立连接)。 UDP是无连接的,即发送数据之前不需要建立连接。 2、安全方面的区别 TCP提供可靠的服务,通过TCP连接传送的数据,无差错,不丢失,不重复,且按序到达。 UDP尽最大努力交付,即不保证可靠交付。 3、传输效率的区别 TCP传输效率相对较低。 UDP传输效率高,适用于对高速传输和实时性有较高的通信或广播通信。 4、连接对象数量的区别 TCP连接只能是点到点、一对一的。 UDP支持一对一,一对多,多对一和多对多的交互通信。
发表于 2019-09-08 09:41:58 回复(0)
SYN Flood攻击(SYN洪水攻击)是基于连接的
发表于 2017-04-08 09:39:16 回复(0)
关于synflood攻击的说法正确的是:
1. 服务端由于连接队列被占满而不能对外服务
2. 大量连接处于SYN_RECV状态
3. 使用硬件防火墙可以一定程度上抵御攻击
发表于 2016-06-18 22:45:12 回复(2)