网吧的恶梦!!!SYN攻击!!

giordanoshai

SYN攻击!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

14000 P/S ...CPU LOAD 50%左右!!!!!!

ROUTER OS 根本阻止不了。
ROUTER OS 2.9.7 没有SYN COOKIE的功能.现在官方最新的版本带这功能，不知道对SYN攻击起不起效果。

giordanoshai

没人顶.....知道点的，告诉我下，ROUTER OS到底能不能防止.....我用SNIFF单机测试....每个IP只向我发一个包...大约60Kb左右。。。。而我每秒接受到的包达到了
14000个。有些恐怖。

giordanoshai

继续自己顶。。。。攻击时来时不来。。。。我简单一点。。大家看图就明白了。。

giordanoshai

做网管快两年了，第一次碰到自己没法子解决的事情。。。。。。。。。。。。。。。。。。。抽根烟继续对显示器发呆。

vipe

drop

CPU要好

zzyzzyboy

经过测试 29.26版本的SYN COOIKE 对SYN FLOOD 防御效果起到作用不大~
并且有很多SYN的伪造包已经透过ROS打在服务器上，但是明显感觉好很多的就是当SYN停止的时候收敛速度很快，很快就可以关闭一些伪造的SYN的连接
我看官方的关于SYN COOIKE的介绍甚少~可能是有点回避的意思~
再有就是介绍里面好象是还要打开一个什么东西~
由于本人英文水平有限，没有完全参透~希望高人继续研究
回答完毕
谢谢

benben418

syn攻击ROS是抵抗不了的，ROS是路由器，不是防火墙~
就连防火墙都不一定管用的事情，干吗要求路由器能做呢？

seignior

这个问题不是你解决的,打电话让你的接入商解决吧.

giordanoshai

电信!!!!HOHO!他叫我们换IP..我们已经在申请换IP地址了...如果人家是专门搞我们网吧,换IP地址是没有用的.

benben418

是地~~现在最恐怖的是有人给你使坏~这叫不怕贼偷，就怕贼惦记~~~
实在不行就还是改回硬路由或者代理服务器~硬路由的抗攻击能力比ROS要好的多~做代理服务器的话也可以，毕竟有一些抗DDOS的防火墙还是可用的~

zhangweizj

呵呵，你认为多少钱的硬路由能抵御的了

benben418

自己测试过SYN攻击，100M环境下
ROS没有开启WWW和FTP等服务，攻击80端口，当SYN包达到50000包的时候，ROS已经死机，WINBOX连接中断。
TP-LINK R480早期版本，不带T的，攻击80端口，SYN攻击包达到70000的时候，路由没有挂，但是网速卡。
WIN2003代理服务器，安装冰盾8.0专业版，攻击包80000，基本无影响。
SYN攻击不同于UDP洪水类攻击，SYN属于资源耗尽型攻击，主要消耗目标主机的CPU等资源，造成目标主机系统资源占用100%，无法做出任何响应。
UDP洪水攻击属于带宽耗尽型攻击，主要消耗目标主机的网络带宽资源，当攻击主机的带宽高于目标主机时，将造成目标主机大量网络带宽被消耗而接近掉线，但一般不会造成目标主机死机。

giordanoshai

别人对我的铬镍钢机是:带宽拉光。。。。如果不用相应的防火墙策略，CPU LOAD 100%

benben418

到底是什么攻击？如果是带宽耗尽型的攻击，神仙也没法，人家就是拿带宽堵你的带宽，杀敌一千自损八百型的。
你看一下FIRLWALL里面的connection是否有大量的SYN SENT或者是SYN RECIVE，有就是SYN攻击。

laomao

用WIN2003做代理还是有问题啊
无法IP MAC绑定，就算有也是非常没效果的啊
遇到ARP也一样是死啊
如果是有人故意弄的话就看看是谁，弄弄他吧
这种方式是最好的了，要他也怕

[ 本帖最后由 laomao 于 2006-8-15 02:01 编辑 ]