关于本版精华贴linux下c编程中的DOS攻击程序

JohnBull

原帖由 liuke432 于 2006-12-22 14:32 发表

请问斑竹这是什么原理？

就是SYN COOKIE啊，google一下

liuke432

明白了，感谢JohnBull版主！    ：）

1. 
   
2. SYN cookies技术
   
3. 
   
4. 我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。
   
5. 
   
6. 　　SYN cookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYN　cookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。
   
7. 
   
8.     在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端， 如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。
   
9. 
   
10. 　　在RedHat linux中，启用SYN cookies是通过在启动环境中设置以下命令来完成：
    
11. 
    
12. 　　# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    

复制代码

cjaizss

原帖由 linuxcici 于 2006-10-20 19:50 发表
很熟悉的代码啊......

ip->ip_src.s_addr=random();


如果接收到的包向它发送一个ICMP响应,如果没有应答的话就拒绝. 这只是我的想法.
或发一个SYN给它, 看看有没有回应.

不过我觉得风暴的攻击更吓 ...

呵呵，小伙子长进的不错嘛。
加油！
^_^

janusle

如果是Windows似乎没有什么办法防止.直接挂死. 我一个同学装了卡巴反黑客的,然后检测到攻击..不过一会儿卡巴当掉了,连带着,机器死掉.

柳五随风

典型的half-open攻击。johnbull给了一种方案，其他的办法也很多，比如分析syn的序列。