SYN 洪泛仍然是一种威胁吗?

SYN 洪泛仍然是一种威胁吗?

最近我一直在阅读有关不同的拒绝服务方法的文章。其中一种比较突出的方法是 SYN 泛洪。我是一些不太友好的论坛的成员,有人在出售一个 Python 脚本,该脚本会使用带有伪造 IP 地址的 SYN 数据包对服务器进行 DoS 攻击。

但是,如果您向具有欺骗性 IP 地址的服务器发送 SYN 数据包,目标服务器将向被欺骗的主机返回 SYN/ACK 数据包。在这种情况下,被欺骗的主机是否会返回 RST 数据包,从而否定 75 秒的漫长等待,并最终无法对服务器实施 DoS 攻击?

编辑:如果我不使用 SYN cookies 会怎么样?

答案1

得益于 syncookies,如今 syn flooding 的威胁已经很小了。http://en.wikipedia.org/wiki/SYN_cookies

基本上,当收到 syn 数据包时,服务器会发送一个 cookie,并且如果客户端以正确的响应做出响应,则建立连接。

syn_flooding 曾经导致问题,因为服务器必须保持连接打开,等待剩余的握手。

答案2

我相信最近的操作系统将会支持同步 Cookie这有助于防止此类攻击。您可以/proc/sys/net/ipv4/tcp_syncookies在 Linux 中启用它。

答案3

据我了解,该场景中的欺骗性 IP 地址通常是受到攻击的服务器...攻击者将使用多个发送者向多个接收者发送相同的欺骗性 IP SYN 数据包,所有接收者都会使用 SYN/ACK 响应相同的 IP,然后 poof... DDOS。

至于你的标题,我不知道这是否仍然是一种可行的攻击。

相关内容