谁能帮我解决SYN FLOOD攻击的问题

ttvast

楼上的,这个我的确没有机会去测试,你能介绍一下没用的现象和没用的原因吗?我一直认为syn cookie是对付syn flood最正规的方法. 实在想不通会有什么问题. 除非是CPU计算COOKIE超载

双眼皮的猪

呵呵~不谈理论,试一下就知道了,最简单的,下一个hgod对你的机器进行测试...量大一点,syn-cookie就显得完全没用...

只要达到了不能处理正常请求，攻击就算成功...

ttvast

我下载hgod,在我的XP机器上连包都发不出去.
我编译了一个synk4,同时启动了50个进程对服务器进行攻击, 没有影响到服务器不正常处理响应,大约有20%左右的 softirq占用,但是softirq和具体包的内容无关的,因此不能算syn flood 攻击的效果.其他方面服务器CPU占用几乎都没有。
所以有没有可能你说以下你的现象呢?

ttvast

前面是操作错误.
现在是100个 synk4进程对主机80端口进行攻击
服务器syslog显示possible SYN flooding on port 80. Sending cookies.

目前是服务器几乎什么资源都没有被占用cpu/mem,你们所谓的不能正常提供服务又是什么原因呢?

双眼皮的猪

winxp打了sp2的话是发不出raw socket的...
换个win2k或者只用winxp sp1的机器.

ttvast

windows下的syn flood别人都说效率很低,我也就不试验了.不过就我目前的结果来看.syn cookie已经成功的抵挡了syn flood的攻击.
当然如果你说100M的带宽全部都是SYN FLOOD,那么我相信,就不是syn flood的问题了,任何包都是一样的. syn flood 本身就不是一个拼资源型的攻击.

双眼皮的猪

先不说.看看你说的工具^_^

双眼皮的猪

抱歉我没看清楚你上面的话^_^

我的攻击情况是在同一个lan内,起不起syn cookie系统都很缓慢^_^

我下一个你说的工具试试先.^_^

SuperCube

被攻击机器上起个HTTP, 在win2k下用hgod, 立刻就能看到效果.
SYN FLOOD是占用系统正常的SYN处理队列, 看CPU的使用不能判断是否被攻击了, 如果CPU的使用也上去了, 那么很可能是还收到了其他攻击.

双眼皮的猪

原帖由 "SuperCube" 发表：
被攻击机器上起个HTTP, 在win2k下用hgod, 立刻就能看到效果.
SYN FLOOD是占用系统正常的SYN处理队列, 看CPU的使用不能判断是否被攻击了, 如果CPU的使用也上去了, 那么很可能是还收到了其他攻击.

我同意你的看法...
只要占满 backlog,那么攻击的目的应该说已经达到了...
用其他机器再访问如果异常,我觉得就算是成功攻击了...