Tcp
SYN 氾濫仍然是一個威脅嗎?
好吧,最近我一直在閱讀有關不同拒絕服務方法的資訊。一種突出的方法是 SYN 泛洪。我是一些不太好的論壇的成員,並且有人正在銷售一個 python 腳本,該腳本將使用帶有欺騙性 IP 地址的 SYN 數據包對伺服器進行 DoS。
但是,如果您向伺服器發送了一個帶有欺騙性 IP 地址的 SYN 數據包,則目標伺服器會將 SYN/ACK 數據包返回給被欺騙的主機。在這種情況下,被欺騙的主機不會返回一個 RST 數據包,從而否定 75 秒的長時間等待,並最終嘗試拒絕伺服器嗎?
**編輯:**如果我不使用 SYN cookie 怎麼辦?
多虧了syncookies,如今syn flooding的威脅已經很小了。http://en.wikipedia.org/wiki/SYN_cookies
基本上,當接收到一個同步數據包時,伺服器會發送一個 cookie,如果來賓以正確的響應響應,則建立連接。
syn_flooding 曾經導致問題,因為伺服器必須保持連接打開,等待其餘的握手。
我相信最近的作業系統將支持Syn Cookies,這有助於防止這種攻擊。您可以
/proc/sys/net/ipv4/tcp_syncookies
在 Linux 中啟用它。