这可能是一个微不足道的问题。这是关于Syn Cookie的。 为什么只有半开连接才被视为DOS攻击。 客户端可能完成握手(SYN,SYN-ACK,ACK),之后永远不会回复。这也将占用系统资源。
因此,如果客户端充斥着(SYN,SYN-ACK,ACK)序列,为什么不将其视为DOS攻击?
答案 0 :(得分:3)
正在描述的SYN flood attack是Denial of Service attack的特定形式。 DOS可以采用多种形式,通常与SYN请求无关。
SYN泛洪攻击有效的原因是因为您可以伪造客户端IP地址。这允许来自同一客户端的大量SYN请求,但由于永远不会收到SYN-ACK,因此无法发送ACK,服务器将等待响应,因此使用可用的连接服务器。发送SYN和ACK的客户端将不会耗尽可用连接。大量无用(SYN,SYN-ACK,ACK)仍然是DOS攻击,只是不是那么有效。
答案 1 :(得分:1)
在SYN泛洪中,客户端不必跟踪状态或完整连接。客户端生成许多带有欺骗IP的SYN数据包,这可以非常快速地完成。服务器(不使用SYN cookie时)消耗等待每次连接尝试超时或完成的资源。因此,这是一个非常有效的DoS,可以利用(DoS-ing)客户端与受攻击服务器所消耗的资源,范围为1:10000。
如果客户端完成每个连接,则杠杆消失 - 服务器不再需要等待,客户端必须开始跟踪状态。因此,我们有1:1而不是1:10000。这里有一个次要问题 - 与已建立的连接相比,半开放连接的缓冲区(或者是这次攻击最初发明的时候)很小,并且更容易用尽。
SYN Cookie允许服务器在回复SYN数据包后立即忘记连接,直到它收到并使用正确的序列号进行ACK。资源使用再次变为1:1
答案 2 :(得分:0)
是的,从2008年开始,Sockstress是一次老攻击,完成TCP握手,然后将窗口大小降低到零(或其他一些小值),在第4层绑定连接,有点类似到SlowLoris第7层攻击。 Click Here了解有关Sockstress的更多信息