SYN的问题，希望有高手一起来讨论

tmsxb

这样问题是网吧最头疼的问题，也是ros最薄弱的地方，想完全阻止看来不太可能，但有没有好点的方案能减轻攻击造成的后果。还希望大家能一起讨论下。

专卖精品

1、先做好内部管理

2、ROS对抗70M的流量不是很大问题

3、如果你的带宽没有别人大，那你还是准备哭吧

bingxiao20

你看这样可以不。。。只在input那里保留管理机器连接的规则。。。然后把其他对路由的连接给禁止掉

jianxin007

如果SYN攻击的流量没有大到淹没你的带宽，还是能想些办法的。到单位后我再发帖子和楼主探讨下吧。（现在刚起床，这就去上班了～～～～～～～～～～）

loveball

好啊.等着楼上的.回来.哈哈.

platinum

不知 ROS 是否单独开发了 syn proxy 模块，Linux 默认是不支持这个功能的

zbhdpx

我并不畏惧syn，只怕顶国徽的，如果能开发“顶国徽 proxy”，那怕性能低下都聊胜于无。

额外说一句，网吧市场，未来的竞争将愈来愈血腥暴力，技术的要求将越来越怪异~~~~~~没错，是怪异

有意思！

tmsxb

DROP掉其他机器到ROS的连接效果不大，已经测试了。外网不用担心，那有问题找电信，在这里只是讨论下内网怎么控制。现在好多传奇私服和外挂都有这样的问题。客户机虽然是全盘保护但没控制下载，什么都控制了估计也没人来了。

zooyo

内网攻击就麻烦啊，提升防火墙病毒库能查杀这些攻击软件，二则加大ROS机器硬件配置， 大家还有没有其他高招？

platinum

原帖由 seignior 于 2006-11-29 08:41 发表
有syn proxy又能如何？

区别大了

xhb912

我这里昨天就有这样的例子..内网网卡的流量达到260M之多..ROS马上挂掉..看着掉进的..狂晕.
这样的东西防不胜防!

ssffzz1

上网络版防毒系统,也是一个办法.

专卖精品

原帖由 xhb912 于 2006-11-29 11:09 发表
我这里昨天就有这样的例子..内网网卡的流量达到260M之多..ROS马上挂掉..看着掉进的..狂晕.
这样的东西防不胜防!

这种东西没有讨论的必要，全世界范围内对DDOS攻击都没有办法，难道ROS能独树一帜？ROS真行了还用卖这么便宜？

有个办法，买带限速的交换机，每个工作站只给10M，除非你全网吧都中毒了！

jianxin007

原帖由 jianxin007 于 2006-11-29 07:35 发表
如果SYN攻击的流量没有大到淹没你的带宽，还是能想些办法的。到单位后我再发帖子和楼主探讨下吧。（现在刚起床，这就去上班了～～～～～～～～～～）

先说一下TCP SYN攻击的原理吧。

基本的TCP连接，需要三次握手。这个过程和现实中打电话很相似。发起方拨打对方电话号码（一次）、接受方听到铃声后摘机说“你好，我是XXX,请讲话......”（二次）、发起方开始讲话......（三次）。

TCP SYN攻击利用了连接建立时的三次握手，同时还结合了IP源地址欺骗。说白了就是攻击方冒充其他人和被攻击方进行连接。

还是举个例子吧：我告诉楼主，“刚才xxx找你有事，你回个电话给他吧，他的电话号码是12345678（这个号码是我伪造的，打通了也不会有人接听）”。楼主按我提供的号码拨打回去，却只能听到听筒里传来的铃声，对方根本没有人理他。直到听筒中传来忙音，楼主才放弃。就这样，我把楼主欺骗了。

试想，如果我欺骗楼主说：N个人刚才给你打过电话了，你回电话给他们吧，电话号码分别是@!#$@%&&*$%^*$&*($(，结果是：楼主不停地拨打电话，但是他和谁也联系不上。再近一步的结果就是，正常打电话给楼主的人怎么也打不进来。或者楼主被人玩得大脑短路，一病不起。

以上的假设，只有在楼主不知道我所提供的电话号码是伪造的情况下才可能发生。如果楼主明确地知道那些电话号码是伪造的，那么楼主完全可以不理睬我。

对于ROS来说，如果来自互联网一端的入站请求是一个很明显的不合理请求，那么ROS就有充足的理由把这些数据包DROP掉。

下面说一下什么样的请求是明显不合理的：

1、来自互联网一端的入站数据包中所包含的源地址是你自己的地址。

2、来自互联网一端的入站数据包中所包含的源地址是127.0.0.0/8。

3、来自互联网一端的入站数据包中所包含的源地址是A类私有地址10.0.0.0/8。

4、来自互联网一端的入站数据包中所包含的源地址是B类私有地址172.16.0.0/12。

5、来自互联网一端的入站数据包中所包含的源地址是C类私有地址192.168.0.0/16。

6、来自互联网一端的入站数据包中所包含的源地址是255.255.255.255 这个地址是作为广播的目的地址的，而不可能作为源地址。

7、来自互联网一端的入站数据包中所包含的源地址是0.0.0.0 这个地址是作为广播源地址的。注意，是广播源地址，而不是一个单点对单点的发给特定目的地址的数据包。

8、来自互联网一端的入站数据包中所包含的源地址是224.0.0.0/4 这是D段地址，这个段的地址是作为多播的源地址的，不能作为目的地址使用。并且在作为目的地址使用的时候，数据包只能是UDP包，而不能是其他类型的包。

9、来自互联网一端的入站数据包中所包含的源地址是E类保留地址，240.0.0.0/5。（现在，有些保留地址已经被分配了，所以最好是考虑好了之后再确定是不是丢弃这样的包）。

10、来自互联网一端的入站数据包中所包含的源地址是169.254.0.0/16

11、来自互联网一端的入站数据包中所包含的源地址是192.0.2.0/24

以上资料参考自Steve Suehring编写的《Linux Firewall》一书，感兴趣的朋友可以看一下。

[ 本帖最后由 jianxin007 于 2006-11-29 12:05 编辑 ]

platinum

原帖由 jianxin007 于 2006-11-29 12:34 发表

确实如此～～～～～～～～～～～～～～～～

何以见得？
你认为 DoS 的最大威胁是什么？（不考虑带宽饱和攻击的情况）