前言
- 靶机1:seedubuntu 12.01,IP:192.168.199.138
- 靶机2:WindowsXP SP2,IP:192.168.199.135
- 攻击机:Kali-2020.4,IP:192.168.199.129
- 工具:netwox
原理
TCP SYN Flood,又称SYN洪泛攻击,是目前最为有效和流行的一种拒绝服务攻击形式,它利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN连接请求,消耗目标主机的连接队列资源,从而不能够为正常用户提供服务。
SYN Flood攻击
seedubuntu中查看当前23端口连接信息,发现是空白的
netstat -antu | grep :23
XP对seedubuntu发起telnet请求,可正常访问
telnet 192.168.199.138
在kali发起攻击
netwox 76 -i 192.168.199.138 -p 23
在seedubuntu再次查看,发现23端口充斥大量的syn请求
XP的连接直接被拒绝服务了
对SYN Flood攻击的防御
SYN Flood属于dos攻击的一种,基于ip欺骗原理实现的,所以可以通过设置防火墙从网络层防御
linux中使用syn cookie来防御synflood,首先查看参数值
cat /proc/sys/net/ipv4/tcp_syncookies
结果为1即为开启,结果为0即未打开,通过此命令进行参数修改:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
另外,设置syn_recv超时时限,也能防御syn flood