讨论一下如何防范SYN-FLOOD攻击的问题

弱智

其实，这就是利用了tcp/ip协议的漏洞，JohnBull兄说的没错。
purge的想法的确比较天真，在现有的条件下最好的办法也就是那么几种，
purge曾看到说甚至临时换ip，把web服务临时转到新的ip上去。

daixi

最近正在学习此类东西，帮忙顶一下吧。
不过，我觉得SYN Flood还是比较难防范的。
我测试过一个我自己的程序，我伪造SYN数据包发送到某个地址，均能接收到ACK回复。似乎这个问题，比较头痛的问题。。。。

好好先生

感觉这个问题很好，让我也学了不少东西。大家继续，我搬个凳子来学习……

fushuyong

连Whitehouse碰到这种情况也只能启动最高安全方案，拔网线。。。。。

platinum

[quote]原帖由 "fushuyong"]连Whitehouse碰到这种情况也只能启动最高安全方案，拔网线。。。。。[/quote 发表：

真的假的？

xichen

[quote]原帖由 "fushuyong"]连Whitehouse碰到这种情况也只能启动最高安全方案，拔网线。。。。。[/quote 发表：


假的！！

chjcpu1

我想请教一下，我是学校的网管，看到各位前辈在此讨论不禁试了一下，下载了一个HGOD的软件，按照说明仅简单的一试服务器就不能响应服务了，如此这样，学生搞恶作具的心理更强，我乞不要哭死。

xichen

hgod的攻击能力比较强，而且他对自己机器的cpu消耗率比较底。

iceblood

这本来就是TCP/IP协议设计上的缺陷，正如上面一个人说的，现在真的是想让哪个网站over，哪个就要over。只是看人的数量。不过绿盟的黑洞也确实很不错，原因就是修改了TCP/IP协议上的处理，优化的其中的算法。但如果不这么做，以一般的TCP/IP协议是绝对不可能防止syn_flood的。而且synflood越来越先进，以前还只是真实的IP在synflood，后来发展到假冒IP，然后到现在的随机IP，也就是所有syn_flood的连接没有一个重复的，而且全是假的，真可谓的“科技进步”。所以以前的那些防止synflood攻击的手法全都失效。唯一能解决的或许就是修改TCP/IP。但不知道状态检测到底如何，假如建立一个连接一般都是在那一瞬间，而防火墙就直接检查每个TCP/IP连接的状态，如果发现连接过程不完整就立刻阻断。

chjcpu1

不说别的我用的hgod就是用假ip攻击的，用netstate -an 查看500多条假的，如果是恶意攻击，你可能无从查起，没办法!!!!