SYN泛洪攻击

Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 19
IDF的安装 的安装
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 20
如何设置IDF 如何设置
• 启用状态检测
DS 7.5 保护哪些方面？ 保护哪些方面？
Copyright 2009 Trend Micro Inc.
DS 7.5的新功能 的新功能
• 支持多语言 • 新能改善 • 病毒防护
新！新！
Copyright 2009 Trend Micro Inc.
如何使用DS7.5的防 的防SYN泛洪的功能？ 泛洪的功能？ 如何使用 的防 泛洪的功能
Copyright 2009 Trend Micro Inc.
SYN 泛洪的特征到底是什么呢？ 泛洪的特征到底是什么呢？
伪造大量虚假原始IP 发送大量无效的Request请求 让被攻击目标长期等待直至超时 占用大量被攻击目标的资源
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 5
SYN Flood攻击的解决方案 攻击的解决方案
Jason_Chen
Copyright 2009 Trend Micro Inc.
目录
• SYN泛洪攻击的介绍 • 趋势科技针对SYN泛洪攻击解决方案
Copyright 2009 Trend Micro Inc.
TCP是怎么样进行握手三次？ 是怎么样进行握手三次？ 是怎么样进行握手三次
• 开启防火墙Stateful功能
Copyright 2009 Trend Micro Inc.
SYN Attack攻击行为模拟 攻击行为模拟
• 发送攻击命令
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 16
DS7.5的日志 的日志
Copyright 2009 Trend Micro Inc. 26
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 27
Windows下防护措施 下防护措施
• 通过修改注册表来达到保护目的： • 1．SYN攻击保护 启用SYN攻击保护需要设定以下注册表键值项 （为双字节类型）。 SynAttackProtect双字节键值项。该键值项位 于注册表编辑器的 • HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Servic es • 主键项中，并将其（SynAttackProtect）设置 为“2”（有效值为0～2）。
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 25
Linux下自动防护 下自动防护
• #启动 SYN 泛洪保护 echo ”1″ > /proc/sys/net/ipv4/tcp_syncookies
Classification 10/13/2011
SYN泛洪出现的概率高吗？—— 泛洪出现的概率高吗？ 泛洪出现的概率高吗
• 以下为SYN攻击的分布范围：
高啊！ 高啊！
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 6
被SYN洪水冲击过的企业 洪水冲击过的企业
• SYN Flood作为DDoS里的一种，许多黑客利用 此类漏洞来攻击： • DoS和DDoS攻击是大型网站和网络服务器的安 全威胁之一。2000年2月，Yahoo、亚马逊、 CNN被攻击等事例，曾被刻在重大安全事件的 历史中。SYNFlood由于其攻击效果好，已经成 为目前最流行的DoS和DDoS攻击手段。
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 24
Windows下防护措施 下防护措施
• 3）TcpMaxHalfOpenRetried双字节键值项 同样在上述Services主键项中设置 TcpMaxHalfOpenRetried键值项的值为400（ 有效值为80～65 535）。
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 21
我还没用DS和 我还没用 和IDF，那该怎么办？ ，那该怎么办？ ——不用怕！手动防护！ 不用怕！手动防护！ 不用怕
• 1、Windows下防护措施 • 2、Linux下防护措施
Copyright 2009 Trend Micro Inc.
Copyright 2009 Trend Micro Inc.
OfficeScan 10。X 。
OSCE与IDF联袂主演 与 联袂主演
• IDF适用于防毒墙网络版的入侵防御防火墙是一 个入侵防御系统。 • 创建和执行保护敏感数据、应用程序、计算机 或网段的安全策略。 • 服务器 组件（“服务器插件”）安装在防毒墙 网络版 Web 控制台上。它可以部署和 管理与 防毒墙网络版客户端一起安装在客户端计算机 上的客户端组件（“客户端 插件”）。
• 如下日志：
Classification 10/13/2011
Copyright 2009 Trend Micro Inc. 17
OSCE与IDF联袂主演 与 联袂主演
• OSCE，全称OfficeScan，中文名：趋势科技 ™ 防毒墙网络版。 • 该产品可保护企业网络免受恶意软件、网络病 毒、基于 Web 的威胁、间谍软件和混合威胁攻 击的危害。 • 该产品包括驻留在端点的客户端程序和管理所 有客户端的服务器程序 。 • OSCE从8.0版本开始，就使用了Web信誉技术 ，可以有效阻挡含有恶意代码的URL
Copyright 2009 Trend Micro Inc.
Windows下防护措施 下防护措施
• 2．设置SYN保护阈值 ．设置 保护阈值 1）TcpMaxPortsExhausted双字节键值项 在注册表编辑器中找到主键项，并查看名为 “TcpMaxPortsExhausted”的双字节键值项， 将其值设置为“5”（有效值为0～65 535）。这 项设置是指定触发SYN洪水攻击保护所必须超 过的TCP连接请求数的阈值。 • 2）TcpMaxHalfOpen键值项 在注册表编辑器相同的Services主键项中找到 名为“TcpMaxHalfOpen”的键值项，并将其值 设置为“500”（有效值为100～65 535）。
SYN Flood Attack
Copyright 2009 Trend Micro Inc.
Deep Security是浮云吗？ 是浮云吗？ 是浮云吗
当然不！
Copyright 2009 Trend Micro Inc.
剖析Deep Security的组成 剖析 的组成
Copyright 2009 Trend Micro Inc.
Copyright 2009 Trend Micro Inc.
SYN Flood到底干了些什么？ 到底干了些什么？ 到底干了些什么
• 实验环境中的模拟工具不断发送半连接的SYN包。
Copyright 2009 Trend Micro Inc.
趋势科技 SYN Flood攻击解决方案 攻击解决方案
• 深度防护武器 （Deep Security） • IDF与OfficeScan联手对付 • 手动保护法
Copyright 2009 Trend Micro Inc.
如何保护？ 如何保护？
Client Web Web
Deep Security
Wwk.baidu.comb
Web
不回应/ 拒收
OfficeScan 10.X IDF
• TCP是基于连接的传输层协议。
Copyright 2009 Trend Micro Inc.
什么是SYN Flood攻击？ 攻击？ 什么是 攻击
• SYN Flood： ： SYN Flood是当前最流行的DoS(拒绝服务攻击) 与DDoS(分布式拒绝服务攻击)的方式之一，它 是利用TCP协议缺陷，发送大量伪造的TCP连 接请求，从而使得被攻击方资源耗尽(CPU满负 荷或内存不足)的攻击方式，最终导致系统或服 务器宕机。