关于SYN FLOOD攻击原理的一点探讨

fnaps

第一次把贴子全看完，学到不少。顶一下。

zenith518

原帖由 skipjack 于 2005-12-3 16:08 发表
6次握手与3次握手是一样的,消耗的资源不比3次多.如果处理的好,会更节约资源.
我试过PIII 733 128M内存 两口82559的百兆网卡 标准的synproxy流程(见到syn包就回syn ack) 50M的syn流量可以防住(大概是74000pps).如 ...

50Mbps＝～74000pps，
400Mbps＝～700000pps，中

请教
第一个问题，pps是什么单位?
第二个问题，之间是如何换算的？

谢谢！

colddawn

原帖由 zenith518 于 2005-12-30 22:39 发表

50Mbps＝～74000pps，
400Mbps＝～700000pps，中

请教
第一个问题，pps是什么单位?
第二个问题，之间是如何换算的？

谢谢！

packet per seconds，每秒数据报通过状况

要衡量这个参数一般要使每个数据报大小最小，对于以太网最小报文长度为64bytes
然后数据就能换算出来了。

benjiam

我认为syn flood 不是很好
我在考虑基于第二轮的攻击 是否效果更好
比如  
{
建立连接 发出命令 比如http 的GET 然后命令windows =0  然后自己断掉
那么服务器tcp 栈里有buff 里面应该有等待发过来来的资料
直到超时
}
如果方法得当得话 应该比你们的flood

有效  不过缺点也很明显

如果傀儡机多的话 ，应该比flood  有效

crazysoul

原帖由 benjiam 于 2006-1-3 10:00 发表
我认为syn flood 不是很好
我在考虑基于第二轮的攻击 是否效果更好
比如  
{
建立连接 发出命令 比如http 的GET 然后命令windows =0  然后自己断掉
那么服务器tcp 栈里有buff 里面应该有等待发过来来的资料
...

BAND掉你的IP的话,你还怎么攻击,来一个BAND一个.
SYN的"好处"就是能用假地址,想BAND都不敢BAND.

colddawn

原帖由 benjiam 于 2006-1-3 10:00 发表
我认为syn flood 不是很好
我在考虑基于第二轮的攻击 是否效果更好
比如  
{
建立连接 发出命令 比如http 的GET 然后命令windows =0  然后自己断掉
那么服务器tcp 栈里有buff 里面应该有等待发过来来的资料
...

这就是应用层的攻击思想，现在的具体实现也应用的很平常了，就是CC攻击，CC唯一的创新就是使用了代理服务器而已，不用找傀儡了，不过使用代理不慎的话还是能找出攻击者。

platinum

原帖由 colddawn 于 2006-1-4 08:00 发表


这就是应用层的攻击思想，现在的具体实现也应用的很平常了，就是CC攻击，CC唯一的创新就是使用了代理服务器而已，不用找傀儡了，不过使用代理不慎的话还是能找出攻击者。

最近一个朋友的机器被 CC，我通过抓包和自己使用代理服务器列表里的机器发现，有些 proxy 可能使用了 CDN 技术

如果你在 IE 里面设置了一个代理服务器地址，然后访问某个目标网站，之后你会发现，那个网站收到了 6、7 个 SYN 包，地址来源于一个 C 段相邻的一些 IP，然后分别发起一些 HTTP 请求，而且每个请求都是标准请求（里面不含 x-forward 字样，也不含原始 client 地址），感觉最后有点类似 TCP 分片和重组的感觉，每个 IP 获取一些信息，之后重组后返回给我，对于这种代理，感觉确实太可怕了

而且就算根据内容扫描，虽然可以发现代理，但如果禁掉还需发送 FIN 来结束连接，否则 HTTP 也无法承受，总之，CC 比较难办

另外还有一个思想（试验中，没有真正实作），就是当发现有 CC 攻击的时候，屏蔽掉一部分国家的 IP 地址，这样可以阻止大部分非法 proxy 过来的访问

以下是我托一个朋友在某个大型网站中嵌入 <iframe> 之后抓到的 TCP/80 SYN 包数量，以及国家分布

NUM     COUNTRY  DESCRIPTION                                 PERCENT
894797  CN       CHINA                                       80.5381%
61667   TW       TAIWAN,_PROVINCE_OF_CHINA                   5.5504%
43654   HK       HONG_KONG                                   3.9291%
38891   UNKNOWN  UNKNOWN                                     3.5004%
27255   MY       MALAYSIA                                    2.4531%
10722   US       UNITED_STATES                               0.9650%
9629    CA       CANADA                                      0.8666%
6664    MO       MACAU                                       0.5998%
4187    SG       SINGAPORE                                   0.3768%
2405    DE       GERMANY                                     0.2164%
2299    JP       JAPAN                                       0.2069%
1874    AU       AUSTRALIA                                   0.1686%
1194    NZ       NEW_ZEALAND                                 0.1074%
1191    KR       KOREA,_REPUBLIC_OF                          0.1071%
918     KH       CAMBODIA                                    0.0826%
607     GB       UNITED_KINGDOM                              0.0546%
472     FR       FRANCE                                      0.0424%
445     VN       VIET_NAM                                    0.0400%
312     TH       THAILAND                                    0.0280%
200     IT       ITALY                                       0.0180%
182     AE       UNITED_ARAB_EMIRATES                        0.0163%
163     SA       SAUDI_ARABIA                                0.0146%
100     BE       BELGIUM                                     0.0090%
99      ES       SPAIN                                       0.0089%
82      IN       INDIA                                       0.0073%
67      SD       SUDAN                                       0.0060%
60      SE       SWEDEN                                      0.0054%
57      RU       RUSSIAN_FEDERATION                          0.0051%
55      PK       PAKISTAN                                    0.0049%
51      QA       QATAR                                       0.0045%
48      TR       TURKEY                                      0.0043%
45      DK       DENMARK                                     0.0040%
44      NL       NETHERLANDS                                 0.0039%
43      IR       IRAN,_ISLAMIC_REPUBLIC_OF                   0.0038%
42      FI       FINLAND                                     0.0037%
38      CU       CUBA                                        0.0034%
33      VE       VENEZUELA                                   0.0029%
33      IE       IRELAND                                     0.0029%
31      OM       OMAN                                        0.0027%
28      KZ       KAZAKHSTAN                                  0.0025%
26      CL       CHILE                                       0.0023%
22      BR       BRAZIL                                      0.0019%
18      PH       PHILIPPINES                                 0.0016%
18      MK       MACEDONIA,_THE_FORMER_YUGOSLAV_REPU8LIC_OF  0.0016%
18      IL       ISRAEL                                      0.0016%
17      KW       KUWAIT                                      0.0015%
15      GR       GREECE                                      0.0013%
15      CH       SWITZERLAND                                 0.0013%
15      AL       ALBANIA                                     0.0013%
14      BH       BAHRAIN                                     0.0012%
13      BZ       BELIZE                                      0.0011%
12      PR       PUERTO_RICO                                 0.0010%
12      EG       EGYPT                                       0.0010%
9       UA       UKRAINE                                     0.0008%
9       TN       TUNISIA                                     0.0008%
9       PL       POLAND                                      0.0008%
8       ZA       SOUTH_AFRICA                                0.0007%
8       HU       HUNGARY                                     0.0007%
7       NO       NORWAY                                      0.0006%
7       MX       MEXICO                                      0.0006%
7       KG       KYRGYZSTAN                                  0.0006%
6       PE       PERU                                        0.0005%
6       MT       MALTA                                       0.0005%
6       MA       MOROCCO                                     0.0005%
6       LK       SRI_LANKA                                   0.0005%
6       DO       DOMINICAN_REPUBLIC                          0.0005%
6       BM       BERMUDA                                     0.0005%
6       AR       ARGENTINA                                   0.0005%
3       RO       ROMANIA                                     0.0002%
3       LC       SAINT_LUCIA                                 0.0002%
3       EE       ESTONIA                                     0.0002%
3       BS       BAHAMAS                                     0.0002%
3       BN       BRUNEI_DARUSSALAM                           0.0002%
1       LV       LATVIA                                      0.0000%
1       ID       INDONESIA                                   0.0000%
1       AT       AUSTRIA                                     0.0000%

platinum

PS: AIX 版那种发广告的真有点像 CC 攻击了，怎么防都防不住，除非手动封掉帐号，哈哈～

colddawn

代理是有匿名，非匿名，透明等种类之分的，只有匿名代理不会出现X-Forward的字段
收到多个SYN的原因可能为页面上有其他类似图片资源等，导致客户端发出多个连接请求，像IE默认就是一个连接抓html，一个连接抓图片。

代理这东西不会做类似CDN的多物理位置服务器的吧，意义不大，估计也不会有什么人做。

冰凉小指

长见识了。原理我不太懂，但是在运用防DoS和CC产品中发现金盾在这方面做的还行，特别是防CC攻击运用的是连接空闲超时和分段防御方法，优点是准确率高，缺点是反应稍慢