攻击者|受害者_AttacksonTCP/IPProtocols(Task3)SYNFloodingAttack

篇首语：本文由编程笔记#小编为大家整理，主要介绍了Attacks on TCP/IP Protocols (Task3) SYN Flooding Attack相关的知识，希望对你有一定的参考价值。

Task3: SYN Flooding Attack  

①SYN泛洪攻击工作原理

SYN泛洪是一种DoS攻击的形式&＃xff0c;攻击者向受害者的TCP端口发送许多SYN请求&＃xff0c;但是这些攻击者并无意完成3次握手的过程&＃xff0c;攻击者使用虚假的IP地址或不继续该过程。通过这种攻击&＃xff0c;攻击者可以淹没受害者的这些被用于 半开放式连接 的队列&＃xff0c;即&＃xff0c;连接已经完成SYN&＃xff0c;SYN-ACK&＃xff0c;但没有完成最后的ACK。当这个队列已满时&＃xff0c;受害者不能再完成任何连接。下图&＃xff08;Figure 1&＃xff09;说明了攻击。

注&＃xff1a;实验过程中遇到的问题或者必要知识点的储备如下

检查系统队列大小设置&＃xff1a;

# sysctl -q net.ipv4.tcp_max_syn_backlog

检查队列的使用情况&＃xff1a;

# netstat -na | grep tcp

禁止/启用SYN COOKIE&＃xff1a;

# sysctl -w net.ipv4.tcp_synCOOKIEs&＃61;0
# sysctl -w net.ipv4.tcp_synCOOKIEs&＃61;1&＃xff08;2&＃xff09;
SYN COOKIE工作原理

SYN COOKIE是对TCP服务器端的三次握手协议作一些修改&＃xff0c;专门用来防范SYN Flood攻击的一种手段。其原理是&＃xff0c;在TCP服务器收到TCP SYN包并返回TCP SYN&＃43;ACK包时&＃xff0c;不分配一个专门的数据区&＃xff0c;而是根据这个SYN包计算出一个COOKIE值。在收到TCP ACK包时&＃xff0c;TCP服务器再根据那个COOKIE值检查这个TCP ACK包的合法性。如果合法&＃xff0c;再分配专门的数据区进行处理未来的TCP连接。

&＃xff08;3&＃xff09;如何构造SYN报文

使用netwox 76号指令。

netwox 76 --dst-ip 192.168.175.140 --dst-port 80
netwox 76 --dst-ip 192.168.175.140 --dst-port 23上面两条指令&＃xff0c;攻击者使用随机的虚假IP分别向victim&＃xff08;192.168.175.140&＃xff09;的80端口和23端口发送大量SYN请求。

②过程演示

attackers    &＃xff1a;Machine1&＃xff08;192.168.175.139&＃xff09;

victim   &＃xff1a;Machine2&＃xff08;192.168.175.140&＃xff09;

observer    &＃xff1a;Machine3&＃xff08;192.168.175.141&＃xff09;

&＃xff08;1&＃xff09;攻击前 victim 用于 半开放式连接 队列的使用情况

&＃xff08;3&＃xff09;attack向victim的23端口发送大量SYN请求。&＃xff08;Telnet服务默认端口号&＃xff1a;23&＃xff09;

&＃xff08;4&＃xff09;攻击后 victim 用于 半开放式连接 队列的使用情况

&＃xff08;5&＃xff09;observer使用telnet命令请求远程登录victim&＃xff0c;登陆失败

&＃xff08;6&＃xff09;在victim开启SYN COOKIE的情况下&＃xff0c;SYN Flood攻击无效。

具体原因&＃xff0c;在前面的SYN COOKIE工作原理可解释。