V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2298 days ago, the information mentioned may be changed or developed.
syn flood 是不发第三次握手的 ack,有个想法,就是如果攻击者发第三个 ack 包的话呢,然后不发送任何数据包,有这种攻击方式麽
 |
1
rochek Jan 10, 2020
可以,这种叫做 ACK 攻击
但是有攻击成本这种说法,SYN 可以占主机的资源池。 ACK 回一下就好,相比,SYN FLOOD 更好一点。 如果想要更高的效率,可以考虑 DNS FLOOD |
 |
2
zhangyurui OP @rochek 其实想问,如果一堆建立了连接但是没有发送数据的会有什么影响吗,这也跟 syn flood 一样占用资源吧
|
 |
3
gamexg Jan 10, 2020 via Android
@zhangyurui 限制单个 ip 连接数可以较简单的防护这种。回复 ack 需要实际持有 ip,ip 还是需要成本的。
|
 |
4
hankai17 Jan 10, 2020
那我就开 inactive_timeout 超时就关
|
|
5
zhangyurui OP @gamexg 发送 syn 也是需要 ip 吧,如果限制 ip 连接数那 syn flood 也可以用这种方式防范吗
|
 |
6
Archeb Jan 10, 2020
发送 syn 可以用假的 ip
@zhangyurui |
 |
7
Bmmmmmmmmmmmmmmm Jan 10, 2020
三次握手完成以后,会进入 accept 的全连接队列,如果全连接队列满了,也会像 synflood 攻击一样,资源占用。
|
|
8
zhangyurui OP @Archeb 原来,因为攻击者不知道服务器回的 ack 标识,所以没有办法回复 ack 包去更改服务器连接状态是么
|
|
9
Archeb Jan 10, 2020 via Android  1
@zhangyurui 是的 所以假 ip 不能完成 tcp 握手,也就只能打 udp flood,或者 syn flood
|
|
10
zhangyurui OP @Archeb 3q,懂啦
|
 |
11
alphatoad Jan 11, 2020
Syn cookie 可破
|
Select Language