关于SYN FLOOD攻击原理的一点探讨

bingocn

[quote]原帖由 "Nestle"]Cisco路由器上可以监视半打开连接，达到限值后就不允许新的请求通过，这种方式有效吗？[/quote 发表：


这样你就是对服务器前面的路由器DOS了，路由器后面的其他服务器也就不能提供服务了，损失会更厉害吧？不过大家有可能还可以在内部访问服务器，呵呵

iceblood

原帖由 "JohnBull" 发表：


老大，您真成仙啦？我刚刚写的文章您就说很老？
这篇文章我就是辟谣用的。DDoS没有根本的技术手段可以防止，只能在目标主机上抵抗。

哦，你刚写的呀？
因为看里面的内容全是非常熟悉的。
所以误把你写的这些内容看成是以前看过的文章了。
不好意思。

JohnBull

原帖由 "bingocn" 发表：


echo 1 >; /proc/sys/net/ipv4/tcp_syncoocies 大家都说这个可以，我没测过。那这个用的是什么原理呢？从理论上来说，SYN flood根本没有办法阻止，因为进入包的IP/MAC都是伪造的，没有办法区分是否是用户真正发..........

我和你的观点一样，syncookies也不过是一种抵抗手段而已，无法阻止。但关于syn cookies的原理，网上资料很多，这里有一段你可以参考：

原帖由 "http://ipsysctl-tutorial.frozentux.net/chunkyhtml/x321.html" 发表：

3.3.26. tcp_syncookies
The tcp_syncookies variable is used to send out so called syncookies to hosts when the kernels syn backlog queue for a specific socket is overflowed. This means that if our host is flooded with several SYN packets from different hosts, the syn backlog queue may overflow, and hence this function starts sending out cookies to see if the SYN packets are really legit.

This variable is used to prevent an extremely common attack that is called a "syn flood attack". The tcp_syncookies variable takes an boolean value which can either be set to 0 or 1, where 0 means off. The default setting is to turn this function off.


There has been a lot of discussions about the problems and flaws with syncookies in the past. Personally, I choose to look on SYN cookies as something fairly usefull, and since it is not causing any strangeness under normal operation, it should not be very dangerous. However, it may be dangerous, and you may want to see below.

The tcp_syncookies option means that under high load the system will make new connections without advanced features like ECN or SACK being used. If syncookies are being triggered during normal load rather than an attack you should tune the tcp queue length and the servers handling the load.

You must not use this facility to help a highly loaded server to stand down from legal connections. If you start to see syn flood warnings in your logs, and they show out to be legit connections, you may tune the tcp_max_syn_backlog, tcp_synack_retries and tcp_abort_on_overflow variables.

注：文中的“syn backlog queue”是内核中一个用来存放半连接的队列。它被灌满后，内核就开始要求用syn cookie筛选连接了。而且其实syncookie也有很多漏洞可钻，你可以参考Suse的一些安全文档。

bingocn

原帖由 "JohnBull" 发表：


注：文中的“syn backlog queue”是内核中一个用来存放半连接的队列。它被灌满后，内核就开始要求用syn cookie筛选连接了。而且其实syncookie也有很多漏洞可钻，你可以参考Suse的一些安全文档。

谢谢 ：）
不过“syn backlog queue”满了以后linux怎么用cookies判断SYN是否合法呢？什么样的是合法，什么样的不合法？如何判断？
还是没清楚，可能E文太烂了吧 :p

Loveyuki

如果每个人的安全观念比较好的话，那些“黑客”哪里来的傀儡机进行攻击啊？

就他一个人的电脑顶个屁啊！

skylove

而且目前的dos工具消耗自己的带宽也很厉害。
我曾经尝试用自己的网络攻击朋友的一台机器（事先跟他说了的），结果他机器先挂，但是我发现我自己的交换机也差不多要挂了。。。得出结论，一定需要找傀儡机器才比较有效果，用自己的机器攻击那是玉石俱焚的打法。。。特别是当自己的网络内还有其他用户，就更不敢这样咯

evil_knight

说一句大家可能不爱听的话，如果没有如此之多的各种攻击，那有我们这帮人在这里讨论呀，也没有人雇佣我们干网络安全或管理这活了，就是说没有了敌人就没有战士存在的理由了！！！呵呵

wangbin

up

ycfei

只想问一个.谁成仙了.

eqkilly

改变TCP参数，缩短TCP半连接的保留时间，也就是说对于最后一个ACK不要等待太久。
google似乎就是这么处理的。他的缺点就是重载时可能会影响连通率。

牛老师我就想问下，这个有具体设定的时间吗？还是根据流量和经验随即设定？