这是一个创建于 1762 天前的主题,其中的信息可能已经有所发展或是发生改变。
syn flood 是不发第三次握手的 ack,有个想法,就是如果攻击者发第三个 ack 包的话呢,然后不发送任何数据包,有这种攻击方式麽
 |
1
rochek 2020-01-10 16:22:38 +08:00
可以,这种叫做 ACK 攻击
但是有攻击成本这种说法,SYN 可以占主机的资源池。 ACK 回一下就好,相比,SYN FLOOD 更好一点。 如果想要更高的效率,可以考虑 DNS FLOOD |
 |
2
zhangyurui OP @rochek 其实想问,如果一堆建立了连接但是没有发送数据的会有什么影响吗,这也跟 syn flood 一样占用资源吧
|
 |
3
gamexg 2020-01-10 17:15:02 +08:00 via Android
@zhangyurui 限制单个 ip 连接数可以较简单的防护这种。回复 ack 需要实际持有 ip,ip 还是需要成本的。
|
 |
4
hankai17 2020-01-10 17:17:59 +08:00
那我就开 inactive_timeout 超时就关
|
|
5
zhangyurui OP @gamexg 发送 syn 也是需要 ip 吧,如果限制 ip 连接数那 syn flood 也可以用这种方式防范吗
|
 |
6
Archeb 2020-01-10 17:22:08 +08:00
发送 syn 可以用假的 ip
@zhangyurui |
 |
7
baozhibo 2020-01-10 17:31:58 +08:00
三次握手完成以后,会进入 accept 的全连接队列,如果全连接队列满了,也会像 synflood 攻击一样,资源占用。
|
|
8
zhangyurui OP @Archeb 原来,因为攻击者不知道服务器回的 ack 标识,所以没有办法回复 ack 包去更改服务器连接状态是么
|
|
9
Archeb 2020-01-10 19:04:18 +08:00 via Android  1
@zhangyurui 是的 所以假 ip 不能完成 tcp 握手,也就只能打 udp flood,或者 syn flood
|
|
10
zhangyurui OP @Archeb 3q,懂啦
|
 |
11
alphatoad 2020-01-11 06:14:58 +08:00
Syn cookie 可破
|
Select Language