- 论坛徽章:
- 0
|
- 被攻击机器
- CII 1.7G 512M DDR,双系统:
- freebsd 5.5
- linux 2.6.16
复制代码
描述:
在被攻击机器上运行Linux系统,在攻击机器上运行kill工具:
./kill X.X.X.X 1000 64
sniffer观察,kill 工具向被攻击机器发送大量的相同的IP小包,即来源地址/目的地址/TOS/TTL……等完全一样,TCP协议,FIN标志位;
被攻击机器在20Mb/s不到的流量,就基本趴下了!
在prerouting 链拦截所有TCP包,这样,流量观察,被攻击机器处理流量大幅提升,不过在32Mb左右也大量丢包了!!!
感觉上很像一个老漏洞:
- 路由缓冲用于缓冲路由通信,以对后续的转发进行判断,当包达到的时候,IP路由代码就会检查通信包并根据路由缓冲进行判断,如果存在缓冲信息,就会重用,否则将产生新路由。Linux内核的网络代码在处理IP头具有相同IPv4源和目的地址,及相同TOS值的包存在缺陷,攻击者精心构建上面描述的包发送给Linux,可导致每个包的路由条目连接到相同的HASH链中,这就使得当路由列表很长的时查找会变的非常消耗资源,因此大量发送此类包,可导致服务器消耗大量系统资源而产生拒绝服务。根据测试,一般每秒发400个此类包可使受攻击的系统消耗4G的RAM。
复制代码
但是我的内核是新内核,按理来讲,不应该有这个漏洞的,查看了内核源码,路由算法也是改了的。不像2.4.20以下那些老版本;
在同样的机器上运行freebsd,freebsd则在被攻击的情况下运行得很好,不丢包(不过CPU负载也高,中断调度占用大量CPU资源,可以理解,要处理在量的小包)
欢迎大家跟贴讨论,附件工具仅作测试使用,不要拿来做违法乱纪的事情喔! |
-
-
kill
8.61 KB, 下载次数: 192
Linux DoS测试工具
|