V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhangyurui
V2EX  ›  宽带症候群

关于 tcp 的 syn flood 攻击

  •  
  •   zhangyurui · 2020-01-10 16:18:14 +08:00 · 3071 次点击
    这是一个创建于 1779 天前的主题,其中的信息可能已经有所发展或是发生改变。
    syn flood 是不发第三次握手的 ack,有个想法,就是如果攻击者发第三个 ack 包的话呢,然后不发送任何数据包,有这种攻击方式麽
    11 条回复    2020-01-11 06:14:58 +08:00
    rochek
        1
    rochek  
       2020-01-10 16:22:38 +08:00
    可以,这种叫做 ACK 攻击
    但是有攻击成本这种说法,SYN 可以占主机的资源池。
    ACK 回一下就好,相比,SYN FLOOD 更好一点。

    如果想要更高的效率,可以考虑 DNS FLOOD
    zhangyurui
        2
    zhangyurui  
    OP
       2020-01-10 17:12:35 +08:00 via Android
    @rochek 其实想问,如果一堆建立了连接但是没有发送数据的会有什么影响吗,这也跟 syn flood 一样占用资源吧
    gamexg
        3
    gamexg  
       2020-01-10 17:15:02 +08:00 via Android
    @zhangyurui 限制单个 ip 连接数可以较简单的防护这种。回复 ack 需要实际持有 ip,ip 还是需要成本的。
    hankai17
        4
    hankai17  
       2020-01-10 17:17:59 +08:00
    那我就开 inactive_timeout 超时就关
    zhangyurui
        5
    zhangyurui  
    OP
       2020-01-10 17:19:12 +08:00 via Android
    @gamexg 发送 syn 也是需要 ip 吧,如果限制 ip 连接数那 syn flood 也可以用这种方式防范吗
    Archeb
        6
    Archeb  
       2020-01-10 17:22:08 +08:00
    发送 syn 可以用假的 ip
    @zhangyurui
    baozhibo
        7
    baozhibo  
       2020-01-10 17:31:58 +08:00
    三次握手完成以后,会进入 accept 的全连接队列,如果全连接队列满了,也会像 synflood 攻击一样,资源占用。
    zhangyurui
        8
    zhangyurui  
    OP
       2020-01-10 17:36:44 +08:00 via Android
    @Archeb 原来,因为攻击者不知道服务器回的 ack 标识,所以没有办法回复 ack 包去更改服务器连接状态是么
    Archeb
        9
    Archeb  
       2020-01-10 19:04:18 +08:00 via Android   ❤️ 1
    @zhangyurui 是的 所以假 ip 不能完成 tcp 握手,也就只能打 udp flood,或者 syn flood
    zhangyurui
        10
    zhangyurui  
    OP
       2020-01-10 19:57:52 +08:00 via Android
    @Archeb 3q,懂啦
    alphatoad
        11
    alphatoad  
       2020-01-11 06:14:58 +08:00
    Syn cookie 可破
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2650 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 02:47 · PVG 10:47 · LAX 18:47 · JFK 21:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.