TCP syn攻击--半开攻击
思路:
在服务器等待客户端的ACK回应时,攻击目标服务器的特定端口
环境:
- RHEL7.5是TCP请求方 IP:192.168.211.134
- RHEL7.2是服务器 IP:192.168.211.133
- Kali是攻击者 IP:192.168.211.130
设计:
首先,RHEL7.5利用TCP的子协议telnet登录到RHEL7.2这个Server上
这时,服务器就会有一个与192.168.211.144的随机端口建立成功的tcp会话
实施攻击:
sudo netwox 76 -i "192.168.211.133" -p "23" 
这时查看服务器的tcp会话,可以发现被SYN攻击了
netstat -na | grep tcp
如果将服务器的抵抗洪范的机制设置关闭,那么客户端将无法连接到服务器
服务器关闭洪范保护
客户端不能连接服务器
防御:
开启洪范保护
sudo vim /etc/sysctl.conf //编辑文件
net.ipv4.tcp_syncookies = 0 设置为0 放弃syn防御 1视为开启防御
TCP RST攻击
思路:
伪装成服务器向受害主机发送一个复位报文
后果:
受害主机收到服务器发送的复位报文就会立即释放连接并清空缓存
环境:
- RHEL7.5是主机 IP:192.168.211.134
- RHEL7.2是服务器 IP:192.168.211.133
- Kali是攻击者 IP:192.168.211.130
设计:
部署:
sudo netwox 78 -i 192.168.211.134当客户端主机登录到服务器上后,Kali实施攻击,伪造成服务器向客户端主机192.168.211.134发送一个TCP RST报文
这时,客户端直接与服务器断开连接,由于我用的时ssh,则连ssh的TCP连接也断开了,并且再次连接还是连接不上
攻击者停止攻击,客户端的ssh服务才能恢复正常
怎么防御?
防火墙
