一种新的带宽攻击方式

skipjack

原帖由 lxdlj 于 2006-5-15 17:36 发表


这个我不同意你的观点。我指的是被攻击服务器端的发送窗口。
你发送方是采用raw socket,但对 于被攻击服务器来讲，不会区别这一点的。被攻击服务器只知道收到一个tcp报文段，因此会走协议栈，如果不走协议栈 ...

你说的好像是“糊涂窗口综合症”的表现，窗口刚打开一点，立即被对方填充，以致TCP性能就降低了，带宽利用不起来。
但我想本问题和滑动窗口无关呀

滑动窗口是给对方发送数据用的，OK？
你指的服务器的发送窗口，应该就是我的接收窗口吧？
我ack包的seq会紧随get request的seq+数据长度，进行填充。所以必定会落在服务器的滑动窗口内部。又因为这个ack没有数据，所以不会导致窗口左边缘移动。

攻击的效果，最终就是对耗，窗口的大小那时都僵住了。

[ 本帖最后由 skipjack 于 2006-5-15 17:50 编辑 ]

lxdlj

那不是糊涂窗口综合症。

lxdlj

再发表一点我个人的观点：
虽然你用的是RawSocket,但这并不代表你发送的TCP连接就完全绕过了系统。我看了在xfocus发表的文章，别忘记了，连接建立是靠主进程中的connect函数，而并非你自己处理syn-ack.我想你应该清楚connect之后，系统内部会有相关的文件描述符等信息。因此对于tcp的处理，系统还是会参与的。

撒哈拉里的鱼

楼主，发帖子前仔细多想想，要是想不明白的话，自己写个程序试试。

60133056

观望　关注　　精彩

skipjack

原帖由 撒哈拉里的鱼 于 2006-5-15 23:42 发表
楼主，发帖子前仔细多想想，要是想不明白的话，自己写个程序试试。

你想到了什么，不防直说。没必要卖关子

JohnBull

原帖由 大大狗 于 2006-5-15 16:36 发表
看了，那么这个应用在什么地方啊~~~

1.用ADSL拨一次号，与ddos防护的服务器进行一次http访问，把此次三次握手的ack包保存起来。当然如果服务器用cookie认证也把http get这个数据包保存。
2.再用ADSL拨一次号，把保存的ack包重放给服务器，把保存的http get request包重放给服务器（当然，这个包你可以自己造，CC就是这么干的）。
3.发送大量的ack，请求服务器重传http response这个大数据包。

“攻击”一个无辜的宽带用户。仅此而已。

zjzf_2

我来啦

playmud

原帖由 lxdlj 于 2006-5-15 18:11 发表
再发表一点我个人的观点：
虽然你用的是RawSocket,但这并不代表你发送的TCP连接就完全绕过了系统。我看了在xfocus发表的文章，别忘记了，连接建立是靠主进程中的connect函数，而并非你自己处理syn-ack.我想你应该 ...

不怎么赞同，这个和connect无关，两个世界的事情。显然可以绕过系统建立tcp连接。

playmud

还是觉得不可行，是否能模拟一下？从理论的高度想实践过渡一下，看看。