mình đoán là cái cách mà bạn làm với sockstress chỉ là khác nhau về hình thức triển khai thôi, chứ thật ra cũng đều giống nhau về ý tưởng: làm hết resource của host bằng cách mở càng nhiều càng tốt tcp connection.

để qua mặt connlimit và recent thì không quá khó, chỉ cần có một dãy public IP, càng nhiều càng tốt. tiếp theo thì cần có 2 host (1 cũng được), host A thì thay phiên dùng raw packet gửi SYN đến HVA, sử dụng một trong các public IP. host B còn lại (được cấu hình trên router) nhận các packet ACK/SYN trả về từ HVA (bằng cách sniff trực tiếp), và tạo ACK/SYN giả để hoàn thành 3-way handshake.

với cách làm này, phía attacker chẳng cần phải keep track gì hết các tcp connection, nên sẽ rất nhẹ nhàng. ngược lại, phía HVA, phải tốn resource (memory, file descriptor...) cho mỗi tcp connection, nên sẽ rất nhanh bị quá tải. muốn hủy tấn công thì từ chỉ cần ra lệnh cho host B gửi FIN hay RST đến HVA, để đóng kết nối, giải tỏa resource là xong. 

Được, vì attacker có một dãy public IP mà. Vấn đề quan trọng là, attacker lấy đâu ra một đống public IP đây. Chuyện này quay lại tấn công DDoS sử dụng zombies thôi, chẳng có gì mới mẻ cả. Và cái này khác với cái người ta gọi là sockstress, vì sockstress dựa vào lỗi TCP implementation (có thể gây ra bởi lỗi trong design của TCP) của OS (ít nhất là với thông tin gần đây). 

Anh ơi, cho em hỏi là zombies là cái gì thế?
và cái này nữa, em thắc mắc là tại sao host B chỉ có 1 IP, thế thì sao gói tin HVA gửi đi tới nhiều IP khác nhau lại cùng hướng về B?
thanks anh!