找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 8048|回复: 19

[其它] 拒绝所有的syn连接来防止内网syn攻击,各位大虾指点下

[复制链接]
发表于 2006-11-26 10:38:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
非原创
请各位大虾帮我分析一下利弊
经测试,加这条规则之后,用攻击软件攻击时,CPU占用情况有很大的改善,内存基本不减
尝试限制syn连接数,无效
以上全部于虚拟机下测试

[ 本帖最后由 apszhangqi 于 2006-11-26 10:43 编辑 ]
1.JPG
2.JPG
3.JPG
routeros
发表于 2006-11-26 15:56:43 | 显示全部楼层
这样做有两个弊端
1、针对 lo 回环设备你也 DROP 了,会影响一些内部功能
2、你针对 tcp 的 syn 做 DROP,间接还多了一个判断 tcp 标记的操作,若对所有 tcp 都 DROP 会更好

其实这样做的意义不大,若你不对外公开服务就好,原来 CPU 高不是高在数据报进入网络协议栈,而是高在应用层的处理上
routeros
回复

使用道具 举报

发表于 2006-11-26 16:47:46 | 显示全部楼层
.......大哥们,syn是tcp/ip三握手中标准的流程,他本身是合法并且必须的。
routeros
回复

使用道具 举报

发表于 2006-11-26 18:11:05 | 显示全部楼层
原帖由 seignior 于 2006-11-26 16:47 发表
.......大哥们,syn是tcp/ip三握手中标准的流程,他本身是合法并且必须的。

你可能没理解楼主的用意,他不需要对外提供服务
routeros
回复

使用道具 举报

 楼主| 发表于 2006-11-26 19:58:39 | 显示全部楼层
这样?
2.JPG
routeros
回复

使用道具 举报

发表于 2006-11-26 20:10:35 | 显示全部楼层
原帖由 platinum 于 2006-11-26 18:11 发表

你可能没理解楼主的用意,他不需要对外提供服务


所有tcp/ip都需要这三握手才能建立连接,并不是服务才需要。syn,ack.........
routeros
回复

使用道具 举报

发表于 2006-11-26 21:46:31 | 显示全部楼层
握手顺序是urg、ack、psh、rst、syn、fin
最开始的标记是urg?既然你提出这个话题,弄得我有点不肯定了。(还是一个echo?)

如果是我判断syn,要用序列号判断,tcp cookies我还没掌握。

第四个问题,好像问得有点莫名其妙吧?

我看顶楼的帖,他的本意是!192.168.5.2,dst 192.168.5.10,所有tcp flags是syn的全部drop?无论是否合法,直接drop掉所有syn,好像是不对的吧?被你问得我有些怯了。
routeros
回复

使用道具 举报

发表于 2006-11-26 21:46:44 | 显示全部楼层
原帖由 seignior 于 2006-11-26 20:10 发表


所有tcp/ip都需要这三握手才能建立连接,并不是服务才需要。syn,ack.........

我前面说的有问题吗?
routeros
回复

使用道具 举报

发表于 2006-11-26 21:47:50 | 显示全部楼层
不见了上面那个问题帖?浪费了我挖脑汁的时间哦~~~~~~
routeros
回复

使用道具 举报

发表于 2006-11-26 21:51:52 | 显示全部楼层
不是啊,按照你的说法,“他不需要对外提供服务”,问题是无论有没有对外服务,只要建立连接,这syn是必经之路吧?
routeros
回复

使用道具 举报

发表于 2006-11-26 22:10:55 | 显示全部楼层
原帖由 seignior 于 2006-11-26 21:51 发表
不是啊,按照你的说法,“他不需要对外提供服务”,问题是无论有没有对外服务,只要建立连接,这syn是必经之路吧?

不是啊,若没有服务且也没有防火墙的情况下,过来的 SYN 会被 TCP 协议栈直接以 RST 标记返回而告终
你抓包看看就知道了
routeros
回复

使用道具 举报

发表于 2006-11-26 22:12:04 | 显示全部楼层
另外还有,若是攻击的话,未必发 syn,发 ack 也是可以的
所以楼主的这种方法不好,直接对所有外网进来的 TCP DROP 就对了
routeros
回复

使用道具 举报

发表于 2006-11-26 22:21:11 | 显示全部楼层
不是吧?忘记了,我在一年多前自己写了ack,psh,syn、icmp攻击器(在我另一帖关于2.9.6,2.9.27桥和ddos那帖有实例),印象中好像收到syn应该是挂起连接等待下一个握手的吧(好像是,忘记了,那个程序也是抄别人例程以加深自己对通讯的理解而已)?

但我可以肯定,syn过去,对方是没有直接挂断而是等待下一个请求的(因为我是攻击dst随机端口例如什么1024、2048的,那些端口肯定是没有服务的)。
routeros
回复

使用道具 举报

发表于 2006-11-26 22:41:01 | 显示全部楼层
具体有疑问可以查看《TCP/IP详解》卷一
routeros
回复

使用道具 举报

发表于 2006-11-26 22:51:04 | 显示全部楼层
野外中,手上没书, google一下子也找不到。
但在实测中,我扔出syn,对方的确没有挂断啊~~~~~~因为返回的报文没有返回我这里(而且手上也没有dump工具),所以没办法分析,但查看对方连接,的确我送过去的连接在在(在我请求已经结束之后)。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-22 07:04 , Processed in 0.172198 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表