一种新的带宽攻击方式

crazysoul

也参一脚,
前面有位仁兄说了,你重发ACK包时使用的另一个IP了吧,这时发送的IP源址不同了,接受的服务器自然会DROP掉的.你要用另一个IP地址目的是不接受目标机器的回复以达到低成本来消耗对方资源吧?
而要伪装IP则要修改ACK包的数据了,这就涉及了加密问题,一般是公私密钥对称加密吧,如果没有目标服务器的私钥,你能解读却不能改写.
鉴于要求同IP的原因,因此只能用同一个IP地址不断发请求,然后抢在系统接收之前DROP掉目标系统的回复,继续发ACK以达到消耗对方,但这跟完整的请求有什么大的区别吗?只是类似单机DoS吧.

skipjack

原帖由 crazysoul 于 2006-5-25 11:05 发表
也参一脚,
前面有位仁兄说了,你重发ACK包时使用的另一个IP了吧,这时发送的IP源址不同了,接受的服务器自然会DROP掉的.你要用另一个IP地址目的是不接受目标机器的回复以达到低成本来消耗对方资源吧?是
而要伪装IP则要修改ACK包的数据了,这就涉及了加密???问题,一般是公私密钥对称加密???吧,如果没有目标服务器的私钥,你能解读却不能改写电子签名啥时成了IPV4的一部分了???.
鉴于要求同IP的原因,因此只能用同一个IP地址不断发请求,然后抢在系统接收之前DROP掉目标系统的回复,继续发ACK以达到消耗对方,但这跟完整的请求有什么大的区别吗?只是类似单机DoS吧.

看来，我上面写了那么多东西，我都白写了呀

[ 本帖最后由 skipjack 于 2006-5-25 11:27 编辑 ]

crazysoul

哈,那些是我想当然的,所以有错不奇,见笑了.

想请教下,用不同IP能重发ACK包,而目标服务器不会DROP掉?

skipjack

原帖由 crazysoul 于 2006-5-25 11:32 发表
哈,那些是我想当然的,所以有错不奇,见笑了.

想请教下,用不同IP能重发ACK包,而目标服务器不会DROP掉?

用IP地址为A的主机，发送IP地址为B的ACK数据包，目标服务器分辩不出来。协议部分没有这方面的认证机制

zhuomingliang

没人回了？我回，看完后有了感觉-----就是头晕。

sniperfox

当我们获得http response回应后，立即回复一个ack数据包，此ack数据包的seq值是http response数据包中的ack seq值，而ack seq值为http response数据包的seq序号值。这样当server收到此ack数据包后，会认为是自己刚才发送的http response包在网络中已丢失，会利用快速重传机制加以重传。如果我们拼命发送大量的ack包，则服务器就会不断进行重传。Ack数据包的大小只需64字节，但http response通常都在512字节左右，最长可达1518字节。

快速重传算法：
并不是对于每个重复的ACK服务器都会快速重传，一般如果一连串收到3个和3个以上重复的ACK服务器才能确定报文丢失而重传

姑且认为LZ的方法可行，那么攻击效果会打折扣的

请参阅《TCP/IP详解 卷一：协议》p237快速重传与恢复算法
请指正

skipjack

原帖由 sniperfox 于 2006-5-30 17:08 发表


快速重传算法：
并不是对于每个重复的ACK服务器都会快速重传，一般如果一连串收到3个和3个以上重复的ACK服务器才能确定报文丢失而重传

姑且认为LZ的方法可行，那么攻击效果会打折扣的

请参阅《TCP/IP详 ...

呵呵...你说的对
我查看了RFC2581中关于Fast Retransmit/Fast Recovery的说明部分,确实要三个ack包才可启动快速重传.

maybe168

好好研究，一定会有所收获，

现在我想到了防火的好点子。
但又一闪而过。。。。惭愧。。

benjiam

好像 你攻击的只是 滑动窗口而已.

不会对系统有太大的影响. 至于带宽问题. 很大的下行 也会堵住你的流量

不是很高级

美丽人生

原帖由 benjiam 于 2006-6-17 09:24 发表
好像 你攻击的只是 滑动窗口而已.

不会对系统有太大的影响. 至于带宽问题. 很大的下行 也会堵住你的流量

不是很高级

不会，因为他后来发送ack已经是另一个IP了，只是伪装的源IP是原来的IP，所以服务端会尽管的发，但究竟数据发到哪去了，还要看中间的路由器怎么做了