针对 “TCP 连接中断 / 终止阶段” 的攻击
针对 “TCP 连接中断 / 终止阶段” 的攻击
- 一、定义
- 二、共性防御思路
- 三、攻击手段
- 3.1、RST 洪水攻击(RST Flood)
- 3.2、FIN 洪水攻击(FIN Flood)
一、定义
什么是针对 “TCP 连接中断 / 终止阶段” 的攻击?核心特征是利用 TCP “连接终止” 机制(RST/FIN 报文)或异常终止逻辑,强制破坏已建立的正常 TCP 会话,导致通信中断。
这类攻击的目标是中断合法连接(属于 “会话干扰” 范畴),无需耗尽资源,而是直接破坏现有通信。
二、共性防御思路
校验中断报文(RST/FIN)的合法性(如序列号是否在当前会话窗口内)、加密会话避免四元组被嗅探、缩短 CLOSE_WAIT 超时时间。
三、攻击手段
3.1、RST 洪水攻击(RST Flood)
TCP 协议中 “RST 报文可强制重置连接” 的特性,伪造包含合法会话 “四元组” 的 RST 包
攻击逻辑简述
嗅探目标会话的 IP / 端口(四元组),发送伪造 RST 包给服务器 / 客户端,触发连接重置
3.2、FIN 洪水攻击(FIN Flood)
TCP “FIN 报文请求关闭连接” 的特性,伪造大量 FIN 包,使服务器进入 “CLOSE_WAIT” 状态
攻击逻辑简述
服务器收到 FIN 后维持 CLOSE_WAIT 连接,等待超时释放,大量 FIN 包耗尽连接池资源