作者cholid (熊貓)
看板NetSecurity
標題[問題] 請教SYN/ACK attack
時間Sat Apr 9 18:31:53 2011
各位前輩好~
想請教一下SYN/ACK attack要如何得知呢
(PS. 我這邊提到的SYN/ACK attack是三方交握中...用SYN/ACK來攻擊主機
不是用SYN來讓主機造成等待ACK的狀態)
目前我看到的狀態是 封包發送到
協助攻擊的那端後
協助攻擊端傳送SYN, ACK給
受害者
但是
受害者馬上回傳 RST 斷開兩邊的連線...
想請問有沒有辦法知道
受害者受到攻擊了呢
除了從網路流量外
另外我以前有聽過從interrupt也可以看到
因為網卡一收到封包 就會有interrupt產生...
不過我從vmstat看到的in 感覺都沒有變動耶~~是不是看錯了呢
另外偷偷問一下...用這種方法想要癱瘓別人的網路 似乎不太可行吧~?
以最小的封包40byte為例 假設對方10MB
則需要25萬個封包同時傳遞 才有可能達到癱瘓的效果....
想請問是不是有其他更有效的DDoS攻擊守法呢~?
謝謝~~~
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.113.65.23
1F:推 sssxyz:要癱瘓真的不是難事...付費就可以... 04/09 20:52
2F:→ sssxyz:DDOS有些價格昂貴的設備可以進行"某些程度"的阻擋... 04/09 20:52
3F:→ sssxyz:但前提是上面的水管要夠大... 04/09 20:53
4F:→ sssxyz:你如果可以得知封包均是SYN+ACK那就是惡意行為... 04/09 20:55
5F:→ sssxyz:使用異常旗標被防火牆攔下的機會很高 這是防火牆可以擋的 04/09 20:56
6F:→ sssxyz:主要是塞流量而不是癱瘓主機的話 udp可能選擇上更好些... 04/09 20:58
7F:→ sssxyz:SYN + source ip spoofing 比較像是一石二鳥的攻擊 04/09 21:01
8F:→ sssxyz:但 source ip spoofing 穿越ISP時基本上應該要被攔阻 04/09 21:02
9F:→ cholid:感謝s大的解說~~ 不過之前看過source if spoofing竟然可以 04/10 02:38
10F:→ cholid:穿越ISP... 比如說用學校或某些大網站來協助攻擊 不知道怎 04/10 02:39
11F:→ cholid:麼辦到的~.~ 04/10 02:39
12F:推 sssxyz:很簡單...ISP沒有設定過濾 source ip 所以就穿出去了... 04/10 11:07
13F:推 HowLeeHi:聽起來有點類似Idle scan.. 04/13 03:05