关于 SYN防火墙的 一点疑问

shenbo7

原帖由 ssffzz1 于 2009-8-17 16:10 发表

你看看你的那个握手流程咋画的，再看看7楼的那个咋画的。  差别到底有多大。

我画的流程图，是说我看见的另外一种很新颖的处理SYN Flood攻击的方式；

ssffzz1

哦。的确够新颖的。

结论就是不行。

shenbo7

原帖由 ssffzz1 于 2009-8-17 16:38 发表
哦。的确够新颖的。

结论就是不行。

为什么？没有理由吗？

是不可能实现，还是对于解决SYN Flood攻击没有效果？

ssffzz1

你找到你的那个文章帖上来看看吧。

带脚镣跳舞

你比较一下，你的方法和目前主流的方法
你的图列 只要对方发送SYN包过来 服务器就会完成全连接  消耗了内存 消耗了并发连接数和最大连接数
7楼那图 你看看发SYN包过来，FW直接proxy+cookies  就回包了，防火墙一点内存没有消耗和连接数

同时 操作系统能够支持的并发连接是有限制的，我一秒1W个SYN包（5Mb流量） 服务器就建立了1W个并发连接
服务器能够抗住流量，并发连接却控制不了，每个连接从建立到消除都是需要时间的，我不停的发送SYN包
你就不停的建立全连接，请问能建多少！
防火墙在里面又有何用！

[ 本帖最后由 带脚镣跳舞 于 2009-8-18 12:00 编辑 ]

shenbo7

翻了半个小时，没找到，但我记得大概内容；

1. 建立一个连接状态表，存储双方连接的基本信息（包括双方的TCP序列号等）
2. 所有的新建连接进入一个队列（方便在压力重时，按随机算法，抛弃SYN包），根据客户端的SYN包新建一条记录
3. 根据服务器的SYN/ACK包，完善这条记录，并依据双方的序列号和确认号，伪造一个ACK包给服务端；（这个包很好伪造的；具体请看http://www.ciscohuawei.com/viewthread.php?tid=14825）括号内，是我自己添加的；
4. 根据这条连接的双方数据包，更新状态表中的信息，包括序列号、累计流量、时间戳等，方便以后伪造包中止这条连接，释放服务器端资源；
5. 根据连接状态表中的客户端信息，用一定的算法（具体什么算法，没有说），找出异常连接，中止它；

用词可能不同，但大概的意思，就是这样；

shenbo7

原帖由 带脚镣跳舞 于 2009-8-18 09:39 发表
你比较一下，你的方法和目前主流的方法
你的图列 只要对方发送SYN包过来 服务器就会完成全连接  消耗了内存 消耗了并发连接数和最大连接数
7楼那图 你看看发SYN包过来，FW直接proxy+cookies  就回包了，防火墙 ...

恩，说的对，本来伪造地址是没法进行全连接攻击的，在那个方法中，确可以了；

shenbo7

不过，这种方法，不用算顺序号差值，呵呵、、

ssffzz1

根据你所记忆的这个大概。

这个问题就没法讨论了。这个东西差一点都是不行的。

孤残影风

肯定不是这样的。