在SYN-Flooding攻击中,攻击者使用伪装地址向目标计算机尽可能多地发送请求,以达到多占用目标计算机资源的目的。当目标计算机收到这样的请求后,就会使用系统资源来为新的连接提供服务,接着回复一个肯定答复SYN-ACK。由于SYN-ACK被返回到一个伪装的地址,因此没有任何响应,于是目标计算机将继续设法发送SYN-ACK。一些系统都有缺省的回复次数和超时时间,只有回复一定的次数,或者超时时,占用的资源才会被释放。Windows NT 3.5x和4.0缺省设置可以重复发送SYN-ACK5次。每次重新发送后,等待时间翻番。用户可以使用Netstat命令来检查连接线路的目前状况,查看是否处于SYN-Flood攻击中。只要在命令行中,输入Netstat-n-ptop,就显示出机器的所有连接状况。如果有大量的连接线路处于SYN-RECEIVED状态下,系统可能正遭受此类攻击。实施这种攻击的黑客无法取得系统中的任何访问权。但是对于大多数的TCP/IP协议栈,处于SYN-RECEIVED状态的连接数量非常有限。当到达端口的极限时,目标计算机通常作出响应,重新设置所有的额外连接请求,直到分配的资源被释放出来。
精品推荐