关于 tcp 的 syn flood 攻击

2020-01-10 16:18:14 +08:00

zhangyurui

syn flood 是不发第三次握手的 ack，有个想法，就是如果攻击者发第三个 ack 包的话呢，然后不发送任何数据包，有这种攻击方式麽

3126 次点击

所在节点

11 条回复

rochek

2020-01-10 16:22:38 +08:00

可以，这种叫做 ACK 攻击
但是有攻击成本这种说法，SYN 可以占主机的资源池。
ACK 回一下就好，相比，SYN FLOOD 更好一点。

如果想要更高的效率，可以考虑 DNS FLOOD

zhangyurui

2020-01-10 17:12:35 +08:00

@rochek 其实想问，如果一堆建立了连接但是没有发送数据的会有什么影响吗，这也跟 syn flood 一样占用资源吧

gamexg

2020-01-10 17:15:02 +08:00

@zhangyurui 限制单个 ip 连接数可以较简单的防护这种。回复 ack 需要实际持有 ip，ip 还是需要成本的。

hankai17

2020-01-10 17:17:59 +08:00

那我就开 inactive_timeout 超时就关

zhangyurui

2020-01-10 17:19:12 +08:00

@gamexg 发送 syn 也是需要 ip 吧，如果限制 ip 连接数那 syn flood 也可以用这种方式防范吗

Archeb

2020-01-10 17:22:08 +08:00

发送 syn 可以用假的 ip
@zhangyurui

baozhibo

2020-01-10 17:31:58 +08:00

三次握手完成以后，会进入 accept 的全连接队列，如果全连接队列满了，也会像 synflood 攻击一样，资源占用。

zhangyurui

2020-01-10 17:36:44 +08:00

@Archeb 原来，因为攻击者不知道服务器回的 ack 标识，所以没有办法回复 ack 包去更改服务器连接状态是么

Archeb

2020-01-10 19:04:18 +08:00

@zhangyurui 是的所以假 ip 不能完成 tcp 握手，也就只能打 udp flood，或者 syn flood

zhangyurui

2020-01-10 19:57:52 +08:00

@Archeb 3q,懂啦

alphatoad

2020-01-11 06:14:58 +08:00

Syn cookie 可破

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.