免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: skipjack

一种新的带宽攻击方式 [复制链接]

论坛徽章:
0
发表于 2006-05-15 13:32 |显示全部楼层
原帖由 skipjack 于 2006-5-15 13:25 发表


我这个和syn flood没有任何相似性,syn flood对于ddos设备来说威害和ping flood差不多。它们同属1:1的资源消耗。而作者文章本意也不是这个意思。作者想通过猜测序号的方式来劫持TCP会话,然后再利用CC原理进行 ...

syn和ping的flood怎么能同日而语呢?ddos设备怎么防?消耗怎么成了1:1呢?
这是一个问题,再者:
你的方式可行马?是在怎么样一个网络环境下的?劫持的是第三方还是如何的?她消耗了N,这个N是否要返回给你呢?

论坛徽章:
0
发表于 2006-05-15 13:47 |显示全部楼层
pingflood和synflood用在ddos设备上现在就是可以同日而语啊~,ddos设备收到一个syn包后回复一个syn ack包,这和收到一个echo request和回复一个echo reply有什么本质区别吗?
两幅图,第1个的N返回了,但第2个的N没有返回。这就是意思所在。

论坛徽章:
0
发表于 2006-05-15 14:08 |显示全部楼层
ddos设备返回ack以后是不是保持这个请求的信息呢?syn flood拼的不是网络带宽,消耗的是目的主机的内存等资源,怎么和ping类似呢?相反你说的这种看上去更像ping,类似于在ie里面狂按f5进行刷新。

你的第二个图说的是时间1用ip1建立了连接,然后时间2用ip2发起攻击对吧?
如果这样ip2不用3次握手验证的话,那用了ddos设备反而不安全了。

论坛徽章:
0
发表于 2006-05-15 14:27 |显示全部楼层

>>ddos设备返回ack以后是不是保持这个请求的信息呢?syn flood拼的不是网络带宽,
>>消耗的是目的主机的内存等资源,怎么和ping类似呢?相反你说的这种看上去更像ping,
>>类似于在ie里面狂按f5进行刷新。
我贴子里说过了,大部分ddos设备和小部分防火墙设备不会保持这个请求信息。我没说syn flood拼的是带宽呀。类似IE里狂按f5,但你的手肯定不会有我的程序快。另外按F5键服务器是可以感知的,但我的方法服务器是感知不到的,因为我的ack包不会上送到应用层,就算有基于流量的限制,也必须在IP层才可以检测到。

>>你的第二个图说的是时间1用ip1建立了连接,然后时间2用ip2发起攻击对吧?
>>如果这样ip2不用3次握手验证的话,那用了ddos设备反而不安全了。
Yes~就是利用了ddos设备这个漏洞。当然重放的时间很重要,过期就无效了。但这个方案的可性能比原文中的要高很多。

[ 本帖最后由 skipjack 于 2006-5-15 14:29 编辑 ]

论坛徽章:
0
发表于 2006-05-15 14:32 |显示全部楼层
不保留请求信息的话那是如何和服务器进行数据交互的呢?偶对ddos设备没有了解,只觉的服务器端需要保留这个信息。

论坛徽章:
0
发表于 2006-05-15 14:38 |显示全部楼层
你怎么为一个blind IP计算这个重放的ack包?那不等于要hack掉协议站中使用的加密算法吗?

论坛徽章:
0
发表于 2006-05-15 14:42 |显示全部楼层
原帖由 JohnBull 于 2006-5-15 14:38 发表
你怎么为一个blind IP计算这个重放的ack包?那不等于要hack掉协议站中使用的加密算法吗?


重放的ack包不是计算出来的,是我以前用过保存下来的。所以叫重放的ack,不叫猜测的ack。就是这一点把原作者思路的可行性大幅提高。
另外、协议栈中有加密算法吗,就算有会在三次握手时体现吗?

论坛徽章:
0
发表于 2006-05-15 14:45 |显示全部楼层
原帖由 playmud 于 2006-5-15 14:32 发表
不保留请求信息的话那是如何和服务器进行数据交互的呢?偶对ddos设备没有了解,只觉的服务器端需要保留这个信息。


我图二画的很清楚了,一个重放的ack包,会被ddos转化为syn包与服务器建立三次握手。

论坛徽章:
0
发表于 2006-05-15 14:53 |显示全部楼层
原帖由 skipjack 于 2006-5-15 14:42 发表


重放的ack包不是计算出来的,是我以前用过保存下来的。所以叫重放的ack,不叫猜测的ack。就是这一点把原作者思路的可行性大幅提高。
另外、协议栈中有加密算法吗,就算有会在三次握手时体现吗?


可是你以前记录的ACK分段的源地址不是受害服务器的源地址,而是你自己的源地址啊。
你不知道服务器里面的secret值,无法伪造任意服务器的ACK(除非你hack掉协议站中使用的加密算法)。
就算事先取得被害服务器的权限,抓包得到一个ACK分段也没有用,服务器里的secret值是变化的啊。

也许是我没看懂,我觉得你的推理靠不住,老兄还是编出一个东西让大家看看吧。

[ 本帖最后由 JohnBull 于 2006-5-15 15:00 编辑 ]

论坛徽章:
0
发表于 2006-05-15 15:07 |显示全部楼层
原帖由 JohnBull 于 2006-5-15 14:53 发表


可是你以前记录的ACK分段是你自己的源地址,不是受害服务器的啊,你又不知道服务器里面的secret值,不能求出伪造的ACK(除非你能hack掉他的加密算法)。

你是不是说事先已经得到了受害服务器的权限,在上面 ...


没有你想像的那么复杂,过程是这样的:
1.用ADSL拨一次号,与ddos防护的服务器进行一次http访问,把此次三次握手的ack包保存起来。当然如果服务器用cookie认证也把http get这个数据包保存。
2.再用ADSL拨一次号,把保存的ack包重放给服务器,把保存的http get request包重放给服务器(当然,这个包你可以自己造,CC就是这么干的)。
3.发送大量的ack,请求服务器重传http response这个大数据包。

http response不会回给我现在的IP地址,而回复给了上一个ADSL获得的IP地址
操作性不复杂吧?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP