3

これは些細な質問かもしれません。これはSyn Cookieに関するものです。ハーフ オープン接続のみが DOS 攻撃と見なされるのはなぜですか。クライアントがハンドシェイク (SYN、SYN-ACK、ACK) を完了し、その後まったく応答しない可能性があります。また、システム リソースも消費します。

では、クライアントが (SYN、SYN-ACK、ACK) シーケンスでフラッディングしている場合、それが DOS 攻撃と見なされないのはなぜですか?

4

3 に答える 3

3

説明されているSYN フラッド攻撃は、サービス拒否攻撃の特定の形式です。DOS は多くの形式を取ることができ、多くの場合 SYN 要求とは無関係です。

SYN フラッド攻撃が有効な理由は、クライアントの IP アドレスを偽造できるからです。これにより、同じクライアントから非常に多数の SYN 要求が許可されますが、SYN-ACK が受信されないため、ACK を送信する方法がなく、サーバーは応答を待機したままになります。サーバ。SYN と ACK を送信するクライアントは、利用可能な接続を使い果たすことはありません。役に立たない多数の (SYN、SYN-ACK、ACK) は依然として DOS 攻撃であり、それほど効果的なものではありません。

于 2013-04-12T09:46:56.347 に答える
1

SYN フラッドでは、クライアントは状態を追跡したり、接続を完了したりする必要はありません。クライアントは、スプーフィングされた IP を含む多数の SYN パケットを生成しますが、これは非常に高速に実行できます。サーバー (SYN Cookie を使用していない場合) は、各接続の試行がタイムアウトまたは完了するのを待ってリソースを消費します。結果として、これは非常に効果的な DoS であり、(DoS を実行する) クライアントと攻撃されたサーバーによって消費されるリソースを 1:10000 の範囲で活用します。

クライアントが各接続を完了すると、レバレッジがなくなります。サーバーはそれ以上待つ必要がなく、クライアントは状態の追跡を開始する必要があります。したがって、1:10000 ではなく 1:1 になります。ここには二次的な問題があります - ハーフオープン接続のバッファは、確立された接続に比べて小さく (またはこの攻撃が最初に発明されたとき)、使い果たされやすくなります。

SYN Cookie を使用すると、サーバーは SYN パケットに応答した直後に、正しいシーケンス番号で ACK を受信するまで接続を忘れることができます。ここでも、リソースの使用は 1:1 になります

于 2013-04-13T05:44:48.247 に答える
0

はい、Sockstress は 2008 年からの古い攻撃で、TCP ハンドシェイクを完了してからWindow サイズをゼロ (または他の小さな値) に下げ、レイヤー 4 で接続を拘束します。これは、SlowLoris レイヤー 7 攻撃にいくぶん似ています。 ソックスストレスについて詳しく知りたい方はこちら

于 2014-03-19T04:59:34.417 に答える