[問題] 請教SYN/ACK attack

作者cholid (熊貓)

看板NetSecurity

標題[問題] 請教SYN/ACK attack

時間Sat Apr 9 18:31:53 2011

各位前輩好~ 想請教一下SYN/ACK attack要如何得知呢 (PS. 我這邊提到的SYN/ACK attack是三方交握中...用SYN/ACK來攻擊主機不是用SYN來讓主機造成等待ACK的狀態) 目前我看到的狀態是封包發送到協助攻擊的那端後協助攻擊端傳送SYN, ACK給受害者但是受害者馬上回傳 RST 斷開兩邊的連線... 想請問有沒有辦法知道受害者受到攻擊了呢除了從網路流量外另外我以前有聽過從interrupt也可以看到因為網卡一收到封包就會有interrupt產生... 不過我從vmstat看到的in 感覺都沒有變動耶~~是不是看錯了呢另外偷偷問一下...用這種方法想要癱瘓別人的網路似乎不太可行吧~? 以最小的封包40byte為例假設對方10MB 則需要25萬個封包同時傳遞才有可能達到癱瘓的效果.... 想請問是不是有其他更有效的DDoS攻擊守法呢~? 謝謝~~~ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.113.65.23

推 sssxyz:要癱瘓真的不是難事...付費就可以... 04/09 20:52

→ sssxyz:DDOS有些價格昂貴的設備可以進行"某些程度"的阻擋... 04/09 20:52

→ sssxyz:但前提是上面的水管要夠大... 04/09 20:53

→ sssxyz:你如果可以得知封包均是SYN+ACK那就是惡意行為... 04/09 20:55

→ sssxyz:使用異常旗標被防火牆攔下的機會很高這是防火牆可以擋的 04/09 20:56

→ sssxyz:主要是塞流量而不是癱瘓主機的話 udp可能選擇上更好些... 04/09 20:58

→ sssxyz:SYN + source ip spoofing 比較像是一石二鳥的攻擊 04/09 21:01

→ sssxyz:但 source ip spoofing 穿越ISP時基本上應該要被攔阻 04/09 21:02

→ cholid:感謝s大的解說~~ 不過之前看過source if spoofing竟然可以 04/10 02:38

→ cholid:穿越ISP... 比如說用學校或某些大網站來協助攻擊不知道怎 04/10 02:39

→ cholid:麼辦到的~.~ 04/10 02:39

推 sssxyz:很簡單...ISP沒有設定過濾 source ip 所以就穿出去了... 04/10 11:07

推 HowLeeHi:聽起來有點類似Idle scan.. 04/13 03:05