3

这可能是一个微不足道的问题。这是关于 Syn Cookie 的。为什么只有半开连接才被认为是 DOS 攻击。客户端可能完成了握手(SYN、SYN-ACK、ACK)并且在此之后不再回复。这也将占用系统资源。

那么,如果一个客户端使用 (SYN, SYN-ACK, ACK) 序列泛滥,那为什么不被视为 DOS 攻击呢?

4

3 回答 3

3

所描述的SYN 洪水攻击拒绝服务攻击的一种特定形式。DOS 可以采用多种形式,通常与 SYN 请求无关。

SYN Flood 攻击之所以有效,是因为您可以伪造客户端 IP 地址。这允许来自同一个客户端的大量 SYN 请求,但由于永远不会收到 SYN-ACK,因此无法发送 ACK,服务器等待响应,因此使用可用的连接服务器。发送 SYN 和 ACK 的客户端不会用完可用的连接。大量无用的(SYN,SYN-ACK,ACK)仍然是DOS攻击,只是没有那么有效。

于 2013-04-12T09:46:56.347 回答
1

在 SYN 洪水中,客户端不必跟踪状态或完成连接。客户端产生大量带有欺骗 IP 的 SYN 数据包,这可以非常快地完成。服务器(当不使用 SYN cookie 时)消耗资源等待每次连接尝试超时或完成。因此,这是一个非常有效的 DoS,它利用(DoS-ing)客户端与被攻击服务器消耗的资源在 1:10000 的范围内。

如果客户端完成每个连接,则杠杆作用消失 - 服务器不必再等待,客户端必须开始跟踪状态。因此我们有 1:1 而不是 1:10000。这里有一个次要问题 - 与已建立的连接相比,半开连接的缓冲区(或首次发明此攻击时)较小,并且(曾经)更容易耗尽。

SYN cookie 允许服务器在回复 SYN 数据包后立即忘记连接,直到它收到并以正确的序列号确认。在这里,资源使用再次变为 1:1

于 2013-04-13T05:44:48.247 回答
0

是的,Sockstress 是一种从 2008 年开始的旧攻击,它完成 TCP 握手,然后将 Window 大小降低到零(或其他一些小值),在第 4 层绑定连接,有点类似于 SlowLoris 第 7 层攻击。 单击此处了解有关 Sockstress 的更多信息

于 2014-03-19T04:59:34.417 回答