- 论坛徽章:
- 0
|
讨论一下如何防范SYN-FLOOD攻击的问题
原帖由 "xichen" 发表:
那么可以在超过5秒还没有接收到后续的两个包的时候,可以发送RST(记不清楚是否是这个包了)包,来让被dos攻击的服务器认为客户端已经断开了连接,从而释放了这个连接。
RST没用的,应该FIN.
但这么做与SYN COOKIE或者六次握手从效果上有什么本质区别呢?况且你还得要求交换机有SPAN口以及增加新设备.
原帖由 "xichen" 发表:
还有,现在高手门已经通过将一个syn包分解为多个IP包的方式来穿越防火墙,这个包不会被普通防火墙所识别,但是却能在系统内核重组成一个完成的syn包来达到攻击目的。
这个方法也早就过时了,现在Linux防火墙能搞定这种攻击,不知FreeBSD\行否.
原帖由 "xichen" 发表:
关于源地址和端口号发生变化,这是一般dos工具都具备的,你可以参考网卡的RAW(混杂)工作模式。欣慰的是一般ISP的路由器都不允许不属于这个网段的IP包的通过。给我们查找攻击者带来方便,并从一定程度上阻碍了dos攻击
网卡的混杂模式是作用于接收报文的时候,与发送无关. 而RAW是TCP/IP套接字的一种工作模式,与网卡无关.路由器也不能得知一个数据包里面的传输层会话在端系统上究竟是什么方式打开的.
我没有别的意思,只是想说TCP半连接洪水是没有办法的,不要再误导初学者了,凡声称在不修改TCP的情况下解决了SYN FLOOD问题的软/硬件厂家都是骗子,跟大街上的一针根治牛皮癣广告一样.很多人片面强调DoS与DDoS的差异,其实二者技术本质没有差异!你提到的那些方法,都可以有针对性地进行反制. |
|