SYN反射请教～

magicbox

　前几天看见一个网管写的文章，他说他捕捉到了一些数据包，是带SYN,ACK的。还说这种威力很大。我想这应该是　攻击者伪装　被攻击者　发的一个向其它服务器发的SYN请求吧，然后服务器就回复被攻击者一个\r\nSYN,ACK（是这样的吗？），我就是十分困惑，如果我是被攻击的机器，但是我先并没有发出SYN请求啊。当我接到一个SYN,ACK，计算机应该自动把它丢弃了啊，怎么会形成攻击啊？另外攻击者向服务器发一个SYN，那么服务器也相应回应一个SYN,ACK。那么怎么会说利用反射式攻击数据包的数量会增加几倍啊？（不解）\r\n　小弟是个菜鸟，到GOOGLE去搜了一下这方面的文章但是一篇都没有。\r\n只有到这里来麻烦这里的高手了，还希望帮帮我啊。或者告诉我哪里有相关文章也行啊～！！！　　先谢了啊　　：）

himylife

概念错误。。建议看看rfc\r\n1。首先syn和ack都只是一个IP包里TCP头的标志位，当发生tcp连接时，握手的第一个包syn标志位是一个随即的序列值，ack包是0,是“探路“的，所以才叫syn包。对方收到syn包后，也发一个ip包过来，其中ack等于它收到上一个IP包syn的值，然后它自己的syn又是一个随机生成（其实还是有一定的规律）的序列值，所以这个包才叫syn/ack，并不是两个包，而是一个包上的两个标志位；最后一开始发送syn的接到这个包在发个过来，也是ack位和syn位都有值，是会应用的。这样就完成三次握手，握手是为了同步协调以后收发数据。\r\n2。你说的什么什么反射不是叫syn反射。首先明白它是一种拒绝服务攻击，就是发一堆包给你，把你的协议栈堆满，消耗你的系统资源，让你淌血。他利用的是我刚才说的三次握手里的第二个包(ack/syn）包。首先，攻击者向一大群机子发送syn包，当然这个syn包的原地址其实是被修改成受害者的ip了（就是假冒受害者发送syn给一大堆机子），这样那一大堆机子就会以为是受害者要跟他进行tcp连接，然后每一台机子就回复一个syn/ack给受害者，结果造成拒绝服务攻击。这样的好处是受害者无法查谁在攻击它。

magicbox

谢谢　楼上大侠的提点！！！　　THANKS!

magicbox

但是我还是不理解的是：　如果我的计算机无故（前提：我根本没发SYN）\r\n接受到许多ACK,SYN包，也会照成拒绝服务攻击吗？

redhat71

原帖由 \"magicbox\" 发表：\n但是我还是不理解的是：　如果我的计算机无故（前提：我根本没发SYN）\r\n接受到许多ACK,SYN包，也会照成拒绝服务攻击吗？

\r\n\r\nhttp://grc.com/dos/drdos.htm\r\n\r\n看完这篇文章你就明白了，从DOS到DDOS再到DRDOS。。。恐怖啊

magicbox

谢谢～！　看了，可以是E文的，我E文不是怎么好，但是还是了解一些！\r\n如果直接用SYN欺骗，虽然已经伪装了源IP，是不是也可以通过ROUTER的\r\n追踪而找到攻击者啊？反射一道就找不到了啊？\r\n

redhat71

原帖由 \"magicbox\" 发表：\n谢谢～！　看了，可以是E文的，我E文不是怎么好，但是还是了解一些！\r\n如果直接用SYN欺骗，虽然已经伪装了源IP，是不是也可以通过ROUTER的\r\n追踪而找到攻击者啊？

\r\n\r\n这个我就不懂了，我是个真正的菜鸟\r\n\r\n

反射一道就找不到了啊？\r\n :shock:

\r\n\r\n即使那些被利用来攻击你的服务器的管理员肯协助你恐怕也没什么用\r\n\r\n攻击方只要冒充你给一台机发个请求，这台机就会回应你三四次\r\n而他可以利用的资源是整个INTERNET，并且不需要入侵\r\n因此可以挑大量的服务器而每台只发一个请求，不必留下明显的痕迹

Nestle

有一种包叫做神风敢死队，有SYN又有FIN。

magicbox

今天我到网上去试了一下，不过用的是自己的机子，看见很多包，返回来\r\n如果发得过快，程序就会停止，后来有个同学上来，他要我用他做试验，看看有多大影响，我伪装他的机子向其他服务器发的，结果他说没任何不良现象，是不是他是宽带，而我是猫，所以量不够啊 ？ 怎么才能找到一些大型路由的IP啊？

magicbox

有SYN又有FIN，这样的包又有什么作用啊？\r\n是不是断开时用的啊？ 有危害吗？