论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-04-18 18:03 |只看该作者 |倒序浏览

之前的问问题方法可能有点不妥，换一种表达方式

我根据网上的资料架设了BSD+PF作为防火墙
并且开启了SYNPROXY 来防止SYN FLOOD攻击

每一条pass语句里都写了 log 关键字，使得pflogd 可以将其记录下来

事后使用命令 tcpdump -n -e -ttt -r /var/log/pflog （查看日志文件）
或者使用命令 tcpdump -n -e -ttt -i pflog0 （实时查看）

发现我发送的SYN FLOOD数据包也出现在了日志里，但是和其它正常数据包并无两样。

仔细思考了一下SYNPROXY的原理
SYN --> BSD -----》计算COOKIE发送
如果有返回ACK，根据COOKIE计算其合法性，若合法则代理它与真实机器握手
否则，超时忽略这个连接

正常的连接是
SYN --> ACK/SYN -->ACK/FIN
完成三次握手

无论哪一种，PF在语句 pass in log on $ext_if proto tcp from any to $web_server port www flags S/SA synproxy state
的时候，都会记录下收到第一个SYN包的信息

这样理解对吗？
若不对，错在哪里？

事后通过对比数据包可以挑出哪些数据包是攻击包，哪些数据包是正常的吗？
这是困惑我很久的问题，希望大牛们指点！

拜谢！

[ 本帖最后由职业欠钱于 2008-4-25 22:30 编辑 ]