SYN flood 攻击
SYN Flood 是一种广为人知的 DoS(拒绝服务攻击) 想象一个场景:客户端大量伪造 IP 发送 SYN 包,服务端回复的 ACK+SYN 去到了一个「未知」的 IP 地址,
势必会造成服务端大量的连接处于 SYN_RCVD 状态,而服务器的半连接队列大小也是有限的,如果半连接队列满,也会出现无法处理正常请求的情况
在客户端用 scapy 执行的 sr1 函数向目标机器(192.168.137.2)发起 SYN 包
sr1(IP(src="192.168.137.*", dst="192.168.137.2") / TCP(dport=8080, flags="S") )
可以看到短时间内,服务端收到了很多虚假 IP 的 SYN 包,马上回复了 SYN+ACK 给这些虚假 IP 的服务器。这些虚假的 IP 当然一脸懵逼,我都没发 SYN,你给我发 SYN+ACK 干嘛,于是马上回了 RST。
使用 netstat 查看服务器的状态
服务端:
node1:/root#netstat -na | grep 8080
tcp 0 0 192.168.137.2:8080 0.0.0.0:* LISTEN
node1:/root#netstat -na | grep 8080
tcp 0
SYN flood 攻击 回复RST
最新推荐文章于 2023-10-20 03:05:39 发布
本文深入探讨了SYN Flood攻击的原理,这种DDoS攻击利用TCP连接的三次握手弱点,大量发送SYN请求导致服务器资源耗尽。同时,介绍了防御策略中服务器回复RST报文的方法,以此来中断未完成的连接,缓解攻击影响。
摘要由CSDN通过智能技术生成