Python

SYN 泛洪仍然對伺服器構成威脅?

  • May 16, 2010

好吧,最近我一直在閱讀有關不同拒絕服務方法的資訊。一種突出的方法是 SYN 泛洪。我是一些不太好的論壇的成員,並且有人正在銷售一個 python 腳本,該腳本將使用帶有欺騙性 IP 地址的 SYN 數據包對伺服器進行 DoS。

但是,如果您向伺服器發送了一個帶有欺騙性 IP 地址的 SYN 數據包,則目標伺服器會將 SYN/ACK 數據包返回給被欺騙的主機。在這種情況下,被欺騙的主機不會返回一個 RST 數據包,從而否定 75 秒的長時間等待,並最終嘗試拒絕伺服器嗎?

有幾種情況可能不會發生。

  • 被欺騙的主機可能不存在。
  • 它可能存在,但被配置為靜默丟棄與主機發出的 SYN 數據包不匹配的 SYN/ACK。
  • 它可能存在並響應,但沒有足夠的頻寬來處理來自受到攻擊的主機的所有傳入 SYN/ACK。

通過在握手期間刪除所有伺服器端狀態, SYN cookie可以用作防禦 SYN 氾濫的手段。(如果您不知道,請查看它們是如何工作的,這是一個非常出色的 hack,不會破壞 TCP 規範。)預設情況下,SYN cookie 在我的 Ubuntu Lucid 系統上啟用,所以我希望現在大多數伺服器都使用它們.

引用自:https://serverfault.com/questions/142301