syn Flood攻击被攻击者无反应

pibiao5431 2017-08-23 04:46:41

想进行syn Flood测试，两台电脑均是Ubuntu，被攻击者能够看到带宽的变化，但是CPU和内存都没有变化，用wireshark抓包软件之后CPU瞬间提升，求解，为什么？在线等。。。

...全文

845 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

代码誊写工 2017-08-25

打赏
举报

回复

用tcpdump+grep或ngrep看是否收到攻击包，然后再来调整参数内核的不同意味则参数设置的不同另外还要看看是否开启了某些服务（例如：iptables、firewalld）导致报文被丢弃

pibiao5431 2017-08-24

打赏
举报

回复

还是不行，内核参数也已经改了，promisc模式也已经按照上面的指令运行了，但是攻击还是没有效果。 Ubuntu系统下是不是不可能实现synflood攻击？如果是的话我们应该怎么解决？是不是用一个开发板烧入Linux系统，然后攻击开发板，这样呢，行不？

代码誊写工 2017-08-24

打赏
举报

回复

用ip打开/关闭promisc模式

ip link set dev ethxx promisc on
ip link set dev ethxx promisc off

用ifconfig打开/关闭promisc模式

ifconfig ethxx promisc
ifconfig ethxx -promisc

劣化一些内核参数

echo 0 > /proc/sys/net/ipv4/tcp_syncookies #主要是这个
echo 255 > /proc/sys/net/ipv4/tcp_retries1
echo 2147483647 > /proc/sys/net/ipv4/tcp_retries2

echo 2147483647 > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo 2147483647 > /proc/sys/net/ipv4/tcp_max_tw_buckets
...

然后再试试

pibiao5431 2017-08-24

打赏
举报

回复

有没有什么解决办法，能够使攻击有效啊？内核参数是否能够改变？除了抓包软件之外，promisc mode怎么开启？你说的那些内核配置参数需要改些什么？

代码誊写工 2017-08-23

打赏
举报

回复

不抓包的时候内核一般都会自动配置好 /proc/sys/net/ipv4/tcp_syncookies /proc/sys/net/ipv4/tcp_max_syn_backlog /proc/sys/net/ipv4/tcp_synack_retries ... ... 用来抵御synflood。 wirkshark一开，网卡瞬间进入promisc mode，很多内核参数失去作用，只要是包它都必须处理，处理不了的时候才丢

SYN flood是属于DOS攻击的一种典型方式，其发生方式就出现在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒 -2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，并处于崩溃状态，这种情况我们称之为：服务器端受到了SYN Flood攻击（SYN洪泛）。

syncookie配置简介 SYN Flood SYN Flood是一种非常危险而常见的Dos攻击方式。到目前为止，能够有效防范SYN Flood攻击的手段并不多，SYN Cookie就是其中最著名的一种。 SYN Flood攻击是一种典型的拒绝服务(Denial of Service)攻击。所谓的拒绝服务攻击就是通过进行攻击，使受害主机或网络不能提供良好的服务，从而间接达到攻击的目的。SYN Flood攻击利用的是IPv4中TCP协议的三次握手(Three-Way Handshake)过程进行的攻击。 TCP服务器收到TCP SYN request包时，在发送TCP SYN + ACK包回客户机前，TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连接状态称为半打开连接(Half-open Connection)。在最常见的SYN Flood攻击中，攻击者在短时间内发送大量的TCP SYN包给受害者。受害者(服务器)为每个TCP SYN包分配一个特定的数据区，只要这些SYN包具有不同的源地址(攻击者很容易伪造)。这将给TC

SYN洪水 SYN泛滥是一种DoS攻击，攻击者将一系列SYN请求发送到目标服务器，以尝试消耗足够的服务器资源以使系统对合法流量无响应。 SYN请求和SYN数据包是一样的东西 SYN Flood攻击如何工作？ SYN Flood攻击通过利用TCP连接的握手过程来工作。在正常情况下，TCP表现出三个不同的过程以建立连接（）。客户端通过向服务器发送SYN （同步）数据包来请求连接。然后，服务器以SYN-ACK数据包进行响应，以便对通信进行ACK （确认）。客户端发送一个ACK数据包以确认已从服务器收到该数据包，并建立了连接。完成数据包发送和接收的此序列后，TCP连接将打开并能够发送和接收数据。这称为TCP三向握手。该技术是使用TCP建立的每个连接的基础。为了创建DoS，攻击者利用了以下事实：接收到初始SYN数据包后，服务器将以一个或多个SYN-ACK数据包进行响

IBM AIX是一款商业性质的操作系统。IBM AIX启动脚本存在安全问题，本地攻击者可以利用这个漏洞注入任意数据到对象数据管理器(ODM)或者使系统崩溃。 DoS攻击主要分为Smurf、SYN Flood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他网络资源；SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源；Fraggle攻击与Smurf攻击原理类似.

python3版本的Scapy–Scapy3k来实现一个简单的DDos。首先实现SYN泛洪攻击（SYN Flood，是一直常用的DOS方式之一，通过发送大量伪造的TCP连接请求，使被攻击主机资源耗尽的攻击方式）。TCP三次握手的过程在这里就不再赘述，SYN攻击则是客户端向服务器发送SYN报文之后就不再响应服务器回应的报文，由于服务器在处理TCP请求时，会在协议栈留一块缓冲区来存储握手的过程，如果超过一定的时间没有接收到客户端的报文，那么本次连接在协议栈中存储的数据就会被丢弃。攻击者如果利用这段时间发送了大量的连接请求，全部挂起在半连接状态，这样将不断消耗服务器资源，直到拒接服务。 Scapy

Linux/Unix社区

18,773

社区成员

11,463

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章