针对 “TCP 连接建立阶段” 的攻击

针对 "TCP 连接建立阶段" 的攻击

一、定义

什么是针对 "TCP 连接建立阶段" 的攻击?核心特征是利用 TCP "三次握手" 机制的漏洞,阻止正常连接建立,或通过伪造连接请求消耗服务器资源。

这类攻击的目标均为耗尽服务器的 "半连接队列" 或 CPU / 内存资源,使服务器无法响应合法客户端的连接请求(属于 "拒绝服务(DoS/DDoS)" 范畴)。

二、共性防御思路

加固三次握手机制(如启用 SYN Cookie)、缩短半连接超时时间、过滤异常 SYN 包(如源目 IP 相同、频率过高的包)

三、攻击手段

3.1、SYN 洪水攻击(SYN Flood)

三次握手第一步(客户端发 SYN)后,不回复服务器的 SYN+ACK,占用服务器 "SYN_RCVD" 半连接队列

攻击逻辑简述

伪造大量虚假源 IP 的 SYN 包,填满半连接队列,正常 SYN 请求被丢弃

3.2、Land 攻击(Land Attack)

伪造 "源 IP = 目标服务器 IP、源端口 = 目标服务器端口" 的 SYN 包,使服务器 "自连接"

攻击逻辑简述

服务器收到 SYN 后向自身回复 SYN+ACK,陷入 "发送→接收→再发送" 的无限循环,消耗 CPU

相关推荐
extrao2 天前
🚀 Kea DHCP4 自动分配系统完整搭建
网络协议
不做菜鸟的网工4 天前
BGP特性
网络协议
MrSYJ4 天前
TCP协议理解
后端·tcp/ip
明月_清风6 天前
开发者网络概念全扫盲:一篇搞定
后端·网络协议
刘马想放假6 天前
Modbus 全栈技术解析:TCP、RTU、ASCII、RTU over TCP
数据结构·网络协议
王二端茶倒水7 天前
一套可落地的无线运营方案,不能只管 AP,还要管用户、计费和运维
网络协议
162723816087 天前
EtherCAT 分布式时钟(DC)原理与配置实战:把多轴真正"对齐到同一时刻"
网络协议
王二端茶倒水8 天前
宽带无线项目,怎么从一次性交付变成长期运营收入?
网络协议
用户2530171996279 天前
第6篇:从技术到产品 — Ghost Proxifier 的设计哲学
网络协议