[Question] [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? |
26/02/2009 23:28:51 (+0700) | #1 | 171110 |
|
hizit91
Member
|
0 |
|
|
Joined: 04/01/2009 20:29:43
Messages: 133
Offline
|
|
bạn choc_ có nói cái này:
mình đoán là cái cách mà bạn làm với sockstress chỉ là khác nhau về hình thức triển khai thôi, chứ thật ra cũng đều giống nhau về ý tưởng: làm hết resource của host bằng cách mở càng nhiều càng tốt tcp connection.
để qua mặt connlimit và recent thì không quá khó, chỉ cần có một dãy public IP, càng nhiều càng tốt. tiếp theo thì cần có 2 host (1 cũng được), host A thì thay phiên dùng raw packet gửi SYN đến HVA, sử dụng một trong các public IP. host B còn lại (được cấu hình trên router) nhận các packet ACK/SYN trả về từ HVA (bằng cách sniff trực tiếp), và tạo ACK/SYN giả để hoàn thành 3-way handshake.
với cách làm này, phía attacker chẳng cần phải keep track gì hết các tcp connection, nên sẽ rất nhẹ nhàng. ngược lại, phía HVA, phải tốn resource (memory, file descriptor...) cho mỗi tcp connection, nên sẽ rất nhanh bị quá tải. muốn hủy tấn công thì từ chỉ cần ra lệnh cho host B gửi FIN hay RST đến HVA, để đóng kết nối, giải tỏa resource là xong.
Ở đây, cho em hỏi là, host B có nhận được các gói tin ACK/SYN từ HVA gửi tới ,để hoàn thành "Ba bước băt tay", hay không?
|
|
Hết cấp ba, ta lên cấp bố |
|
|
|
[Question] Re: [hỏi]:Liệu có thể dùng IP giả để thiết lập "3 bước bắt tay"được không? |
26/02/2009 23:43:54 (+0700) | #2 | 171115 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
Được, vì attacker có một dãy public IP mà. Vấn đề quan trọng là, attacker lấy đâu ra một đống public IP đây. Chuyện này quay lại tấn công DDoS sử dụng zombies thôi, chẳng có gì mới mẻ cả. Và cái này khác với cái người ta gọi là sockstress, vì sockstress dựa vào lỗi TCP implementation (có thể gây ra bởi lỗi trong design của TCP) của OS (ít nhất là với thông tin gần đây). |
|
Mind your thought. |
|
|