SYNフラッド
はじめに:メモリが一杯にし、サービス拒否であるので、ターゲットをTCPパケットを送信するためにSYN = 1を対象とする継続。
コマンドは:netwox 76 -i target_ip -pポートは
動作します:TCP接続が確立され、サーバがSYNパケットを受信し、TCBは、情報を格納するための大きなスペースを割り当て、半開状態になります。
防衛は:この攻撃の発見後、クッキーは、SYNを開く:1> /小道具/ SYS / NET / IPv4のエコー/ tcp_syncookies
SYNクッキー原則:
ACKが到着するまで、すべてのリソースを割り当てません。クライアントに戻すSYNパケットは、サーバー構成されたSYN + ACKパケットを受信すると、データパケット内のシーケンス番号は、もはやランダムな値ではありません、
しかし、次のルールに従って構築されたSYNクッキー、:
- トップ5:T modの32のタイムスタンプtが遅い増加(64秒の解像度を与える通常の時間()論理的に正しい位置6、)が提供されます
- 3で:mは次数mのエンコードされた値は、サーバー・キュー・エントリSYN最大セグメントサイズ(MSS)値に格納されています。
- 最終24:S =ハッシュ(サーバーのIP、ポート、クライアントIP、ポート)
クライアントがサーバにACKパケットを返送する場合、サーバ確認番号をクライアントに与えるために、1から減算されるSYNクッキーを送信し、テストが行われます。
- 接続の有効期限が切れているかどうかを確認するために、値tと現在の時刻を確認してください。
- Sは、それが実際に有効なSYNクッキーであるかどうかを判断するために再計算しました。
- 3つのコーデック値mからSYNクッキーは、SYNキュー・エントリを再構成するために使用されてもよいです。
SYNクッキー短所: - 符号化する3ビットのみであるため、サーバーは、8一意のMSS値に制限されます。
- サーバは、(そのような大きな窓やタイムスタンプなど)は、すべてのTCPオプションを拒否しなければなりません。
nmapの
説明:複数のスキャン機能の統合スキャンツール
もTCP接続(-sT)スキャンとして知られているポートの検出コマンドを、nmapのIP、
原則:ターゲットは、ターゲットポートが開いている場合に近い場合は、接続が確立され、SYN各ポートを送信し、設定した場合はRST、SYNフィルタを受け、返事はありませんでした。
短所:接続が確立された後にはマークを残します。
改良:sudoのnmapのIP、TCP SYN(ハーフオープン-sS)スキャン
の原則:root権限、直接介入契約の必要性、SYN + ACKの目標を受け取った後、ACK返信が、RSTを返し、接続が確立されて避けることはありません。
-sF、FINスキャンポートは、クローズまたはオープン/フィルタで閉鎖またはスキャン結果開いている決定することができる|フィルタリングさ
-sA、ACKスキャン、ターゲットポートは、フィルタの設定か否かを判定する。ポートのオープン/クローズ、ACKパケットを受信した場合、それは、RSTを返します。フィルタ処理またはフィルタリングされていないスキャン結果が
FとAの交点は、ターゲットポートのステータスを確認することができます。
|ターゲットポート|オープン|休館|ろ過|
| - | - | - | - |
| -sT | SYN + ACK | RST | NO返信|
| -sS | SYN + ACK | RST | NO返信|
| -sA | RST | RST | NO返信|
| -sF | NO返信| RST |応答なし|
nmapのアイドル
そして、nmapの比率は、マークを離れることなく、自らの契約を対象としません。増分法(現在その脆弱性)の(断片化と再アセンブリのために、識別子)データグラム識別子を使用してIP。
ステップ:
- ip_id = 1033で応答ゾンビにSYNのゾンビ(ゾンビが、イベントネットワーキングなしホスト)、RSTを送信するためにハック
- ターゲットにIPゾンビ、SYNを装っハック、ターゲットホストポートが開いている場合、それはSYN + ACKが送信されます、ゾンビがこのパケットを受信すると、RSTが発行されます。それが閉じている場合、RSTは送信し、ゾンビは、このパケットを受信し、それは単に無視されます。
- それは= 1033 1、ゾンビターゲットへの接続がないことを示す、対象は、近接してい+あればゾンビをハックする応答で送信されたSYN、ゾンビRSTは、ip_id
ID = 1033 + 2は、開いたターゲットを説明している場合、もしID = 1033 + 3、本当にゾンビゾンビを説明できません。
原理:
- ポートが開いている場合、SYNパケットを受信すると、その後、返信RST SYN + ACKを閉じると、返します。
- あなたがSYNを送信するが、SYN + ACKを受け取っていない場合は、RSTを返します。
- 1だけインクリメントされたルールIDに基づいて、識別子は、単一のホストが契約いくつかのパケットをした後に距離が決定され、検出されます。
参考1:
https://zhuanlan.zhihu.com/p/59750145
"詳細TCP / IP"