作者cholid (熊猫)
看板NetSecurity
标题[问题] 请教SYN/ACK attack
时间Sat Apr 9 18:31:53 2011
各位前辈好~
想请教一下SYN/ACK attack要如何得知呢
(PS. 我这边提到的SYN/ACK attack是三方交握中...用SYN/ACK来攻击主机
不是用SYN来让主机造成等待ACK的状态)
目前我看到的状态是 封包发送到
协助攻击的那端後
协助攻击端传送SYN, ACK给
受害者
但是
受害者马上回传 RST 断开两边的连线...
想请问有没有办法知道
受害者受到攻击了呢
除了从网路流量外
另外我以前有听过从interrupt也可以看到
因为网卡一收到封包 就会有interrupt产生...
不过我从vmstat看到的in 感觉都没有变动耶~~是不是看错了呢
另外偷偷问一下...用这种方法想要瘫痪别人的网路 似乎不太可行吧~?
以最小的封包40byte为例 假设对方10MB
则需要25万个封包同时传递 才有可能达到瘫痪的效果....
想请问是不是有其他更有效的DDoS攻击守法呢~?
谢谢~~~
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.113.65.23
1F:推 sssxyz:要瘫痪真的不是难事...付费就可以... 04/09 20:52
2F:→ sssxyz:DDOS有些价格昂贵的设备可以进行"某些程度"的阻挡... 04/09 20:52
3F:→ sssxyz:但前提是上面的水管要够大... 04/09 20:53
4F:→ sssxyz:你如果可以得知封包均是SYN+ACK那就是恶意行为... 04/09 20:55
5F:→ sssxyz:使用异常旗标被防火墙拦下的机会很高 这是防火墙可以挡的 04/09 20:56
6F:→ sssxyz:主要是塞流量而不是瘫痪主机的话 udp可能选择上更好些... 04/09 20:58
7F:→ sssxyz:SYN + source ip spoofing 比较像是一石二鸟的攻击 04/09 21:01
8F:→ sssxyz:但 source ip spoofing 穿越ISP时基本上应该要被拦阻 04/09 21:02
9F:→ cholid:感谢s大的解说~~ 不过之前看过source if spoofing竟然可以 04/10 02:38
10F:→ cholid:穿越ISP... 比如说用学校或某些大网站来协助攻击 不知道怎 04/10 02:39
11F:→ cholid:麽办到的~.~ 04/10 02:39
12F:推 sssxyz:很简单...ISP没有设定过滤 source ip 所以就穿出去了... 04/10 11:07
13F:推 HowLeeHi:听起来有点类似Idle scan.. 04/13 03:05