TCP/IP--黑客想要通过TCP攻击,会如何攻击,应该怎么应对。

黑客想要通过TCP攻击,会如何攻击,应该怎么应对。

SYN Flood 攻击时DDOS攻击一种,洪水泛滥。黑客发送大量的SYN请求到目标服务器,但是不完成三次握手和四次挥手的过程,不发送ACK响应,服务器收到SYN请求后,尝试为每一个请求分配资源并且连接扽会带状态,直到超时。由于无法完成,服务器的连接队列被耗尽,导致合理的请求无法处理,从而导致拒绝服务。

攻击者向服务器发送大量的SYN数据包,伪造ip源。

服务器为每一个SYN请求分配一个资源并等待ACK响应,

由于源ip是伪造的,服务器无法收到ACK响应,连接无法建立,资源持续占用,造成服务器资源耗尽。

解决:

使用防火墙或流量清洗设备 :使用防火墙过滤掉来自不可信 IP 地址的流量,或者使用专业的 DDoS 防护设备(如 Cloudflare 等)来清洗流量。

增加半连接队列大小 :增加服务器的 SYN backlog(半连接队列大小),使其能够处理更多的连接请求。 (本质是建立了半连接)

TTL(Time-To-Live)限制:防止伪造的 IP 地址重复进行攻击。

通过限制 TTL,可以检测到不符合正常 TTL 范围的数据包。一个正常的数据包从源到目的地应该经历一定数量的路由器(跳数)。**如果攻击者通过伪造 IP 地址发送数据包,TTL 值通常会不符合预期。 **


SYN Cookies :启用 SYN Cookies 技术,这是一种基于加密的防御机制,它可以防止服务器为未完成的连接分配资源。当收到 SYN 请求时,服务器不会立即分配资源,而是生成一个加密的响应序列号,并将其返回给客户端。如果客户端能成功响应并带有正确的序列号,则才会分配资源

建立RST请求 重置数据包,关闭现在的连接

TCP连接劫持,获取双非的TCP序列号,窃取铭感信息。序列号随机或者TLS/SSL加密,确保数据是加密的,避免中间人攻击。

相关推荐
Hellc00717 小时前
Nginx 高级 CC 与 DDoS 防御策略指南
运维·nginx·ddos
趙卋傑1 天前
TCP/UDP
udp·tcp·tcp核心机制
与火星的孩子对话1 天前
Unity进阶课程【六】Android、ios、Pad 终端设备打包局域网IP调试、USB调试、性能检测、控制台打印日志等、C#
android·unity·ios·c#·ip
liulilittle2 天前
深度剖析:OPENPPP2 libtcpip 实现原理与架构设计
开发语言·网络·c++·tcp/ip·智能路由器·tcp·通信
网硕互联的小客服2 天前
服务器如何配置防火墙规则以阻止恶意流量和DDoS攻击?
服务器·网络·ddos
chirrupy_hamal2 天前
如何避免 SYN 攻击?
网络·tcp
Fanmeang4 天前
OSPF高级特性之FRR
运维·网络·华为·ip·ospf·spf·frr
清醒的兰4 天前
Qt 基于TCP套接字编程
网络·qt·tcp
上海云盾安全满满15 天前
网站用CDN可以防DDoS和CC攻击吗?
ddos
liulilittle17 天前
OPENPPP2 VMUX 技术探秘(高级指南)
网络·信息与通信·ip·通信·mux