教材学习内容
SYN flood攻击SYN flood攻击是DoS攻击的一种形式,攻击者向被攻击主机的TCP端口大量发送SYN请求包,但不去完成TCP的”三次握手”的过程,例如攻击使用一个假的IP地址,或只是简单地不再继续建立TCP连接的过程,这都使被攻击主机处于”半连接”状态(即在”三次握手”过程中,有了前两次握手,SYN包和SYN-ACK包的传输,但没有最后一次ACK包的确认)。被攻击主机的主机会使用一个队列来保存这种半连接的状态,当这个队列存储空间满了的时候,目标主机便无法再接受任何其它连接。这一队列的空间大小事实上是一个系统变量,在Linux中,可以这样查看它的大小:sysctl -q net.ipv4.tcp_max syn backlog。我们还可以使用netstat -na令去检查队列的使用情况。处于半连接的连接状态被标示为”SYN-RECV",完成了”三次握手”的连接被标示为”STABLISHED".
SYN Cookie保护机制:如果攻击看起来并不成功,可以检查一下目标主机的SYNCookie机制是否被开启。SYN cookie是针对SYN flood攻击的一种保护机制。这一机制会在探测到SYN flood攻击时开始生效。可以使用sysctl命令去打开或关闭这一机制:sysctl -a I grep cookie(查看SYN cookie的当前状态)``````sysctl -w net.ipv4.tcp_ syncookies=0(关闭SYN cookie)``````sysctl -w net.ipv4.tcp_ syncookies=1(打开SYN cookie)
页:
[1]