SYN Flood攻击指的是一种常见的拒绝服务攻击。这种攻击可能对主机实施,阻止主机处理连接的工作。这里解释一下, TCP是传输控制协议,是大多数数据在互联网上传输的主要手段。为了使用TCP协议打开互联网上的一台主机的连接,在客户机和服务器之间将产生“三次握手"
SYN Flood攻击是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ ACK包),因为对方是假冒IP对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足) ,让正常的业务请求连接不进来。
Scapy:
定IP头部的信息。
查看IP头部的内容
设置目标地址
设置目标端口号
定义TCP头部
查看TCP头部
发送报文。
回包
抓包后:
没有回应第三个ACK的数据包并且保留一个连接数。占用资源。
可以使用程序进行多次重复发包,消耗双方的CPU等资源,实现syn flood攻击.
攻击防护:
丢包模式,利用TCP重传机制,丢弃首个Syn包。
反向探测,即向Client发送探测包。
代理模式,即Syn Proxy,也就是使用防火墙等设备做代理。