关于 SYN防火墙的 一点疑问

shenbo7

现在的SYN防火墙，基本都是使用SYN Cookie 和6次握手方式；

我想，对付半开链接，是不是这样：
—— ——
SYN：     C———>FW———>S

SYN-ACK：C<———FW<———S

ACK：              FW———>S

ACK：     C———>FW———>S

也就是说，防火墙不管客户端，直接发ACK给服务器，第二个ACK应该会被服务器丢弃的；

不知道，这样有什么问题，可不可行。

[ 本帖最后由 shenbo7 于 2009-8-13 12:22 编辑 ]

kentchoi

正常的链接怎么办？防火墙如何判断syn请求是合法的还是伪装的？

shenbo7

原帖由 kentchoi 于 2009-8-13 15:51 发表
正常的链接怎么办？防火墙如何判断syn请求是合法的还是伪装的？

用这个就是不判断链接的合法性；

只是防止服务器端的半开链接队列溢出；

这样，SYN FLOOD攻击就演变成TCP全连接攻击；

[ 本帖最后由 shenbo7 于 2009-8-13 16:37 编辑 ]

燃烧吧爷们

没有过滤啊。。。

shenbo7

没考虑过滤，只是针对SYN FLOOD攻击说的；

ssffzz1

肯定不是这样的。

带脚镣跳舞

C------->FW  SYN
C<-------FW  SYN+ACK
C-------->FW  ACK
              
              FW----->S  SYN
              FW<----S   SYN+ACK
              FW------>S ACk

6次握手 防火墙启用synproxy+syncookie  判断合法后 两边连接需要修改TCP序列号，防火墙需要维护连接状态

你那种方法已经变成全连接，服务器早就被弄死了，开销比半连接还大

[ 本帖最后由 带脚镣跳舞 于 2009-8-14 15:27 编辑 ]

shenbo7

原帖由 shenbo7 于 2009-8-13 12:20 发表
现在的SYN防火墙，基本都是使用SYN Cookie 和6次握手方式；
...

原帖由 带脚镣跳舞 于 2009-8-14 15:01 发表
C------->FW  SYN
CFW  ACK
              
              FW----->S  SYN
              FWS ACk

6次握手 防火墙启用synproxy+syncookie  判断合法后 两边连接需要修改TCP序列号，防火墙需要维护连接状 ...

全连接是否比半连接开销大，我不是很清楚；但我觉得，半连接比全连接更危险；
因为，一般的系统，半连接队列不可能比全连接队列长的；

TCP全连接攻击是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

而且，防火墙防御全连接攻击比同时防御2种攻击更加有针对性；

当然，我只是从另一种角度看待及分析这个问题，现阶段，防御《SYN/ACK Flood攻击》，最好用的还是SYN Cookie；

ssffzz1

SYS Cookie 应用到服务器自身。
和
SYS PROXY 应用到做NAT的网关上。

的原理基本是一致的，只是应用到的位置不同而已。没什么可比性。

shenbo7

原帖由 ssffzz1 于 2009-8-17 09:06 发表
SYS Cookie 应用到服务器自身。
和
SYS PROXY 应用到做NAT的网关上。

的原理基本是一致的，只是应用到的位置不同而已。没什么可比性。

SYN Cookie 在具备SYN防火墙功能的网关设备上没有应用吗？