返回列表 发帖

[讨论]新的DDos攻击

[讨论]新的DDos攻击
议题作者:linkboy
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

看到在讨论Drdos的攻击效果,我发个这个攻击方式给大家看看。这才是王道

本文档的Copyleft归skipjack所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
邮箱: skipjack@163.com
来源:http://skipjack.cublog.cn

本思路是对
http://www.xfocus.net/articles/200505/796.html
文章攻击思路的整理与提高,无意开发新的攻击器。如利用此原理的攻击软件问世,与我本人skipjack无关。
引文章第一段(呵呵...有这一段足够了)

在TCP三次握手后插入伪造的TCP包

一、说明 用Socket的API Connect完成TCP建立连接的三次握手,同时子进程抓包,抓完三次握手的包后,插入第四个包即可,从对端返回的第五个包来看插入成功了,但因为插入了一个TCP包,之后的连接将发生混乱。可以将插入的那个包Data设置为HTTP Request,向WEB服务器提交请求。又如果目标系统的TCP序列号是可预计算的,那么是否可以做带伪源地址的Blind TCP three-time handshakes和插入,值得试验!

作者所做的实验其实什么也说明不了,只是验证了一下TCP协议序号和检验和计算函数而已。我想作者八成是受了CC攻击原理的启发,想不通过代理的方式以达到CC攻击效果。但在序号预测这个步骤上,说实话没有可行性。正常TCP协议采用的同步序号是随机值,在43亿的可选空间中,以百兆带宽的速度进行预测也将是杯水车薪。但是……

为了防御ddos,不少厂商的安全设备中都实现了无状态的syn cookie算法,这种算法在大量syn冲击下利用cookie序号在ack包回传的方式判断连接请求的合法性。所以他们的TCP协议握手部分不是一个健康的实现,本思路经修改后用于攻击此类设备将会取得不错的效果。下面简单介绍攻击者如果以64字节ACK包换取服务器1518大数据包重传,如果源IP伪造成功,攻击者从理论上将获得20余倍的带宽放大攻击效果 。如果有两个目标网站,本方法将一箭双雕。

攻击原理:利用TCP协议收到ACK后的快速重传机制



序号乱刀之一:攻击正常TCP/IP协议栈示意图

    当我们获得http response回应后,立即回复一个ack数据包,此ack数据包的seq值是http response数据包中的ack seq值,而ack seq值为http response数据包的seq序号值。这样当server收到此ack数据包后,会认为是自己刚才发送的http response包在网络中已丢失,会利用快速重传机制加以重传。如果我们拼命发送大量的ack包,则服务器就会不断进行重传。Ack数据包的大小只需64字节,但http response通常都在512字节左右,最长可达1518字节。

    因为正常tcp协议序号的不可预测性,所以我们在这次攻击中暴露了自己的真实IP。




序号乱刀之二:攻击采用静态syn cookie的ddos设备防护下的服务器



    所谓静态syn cookie就是以客户端请求之syn包为参数计算回复syn ack中的seq值,并在ack包回传时判断连接合法性的方法,这种方法被ddos厂商大量采用,并且获得数量可观的国家发明专利,呵呵….。你经常会听到ddos厂商的人说他们的设备比防火墙“牛”多了,可轻松达到百兆线速syn防御,但百兆防火墙30M攻击流量就可以干掉,说这种话的ddos厂商,我可以打赌他们的设备80%采用了这种syn cookie算法。

Syn cookie算法的好处是只在synflood攻击时消耗CPU资源,这对于X86下强悍的通用CPU来说,正适用。

读者可能会感到很奇怪,为什么如此成熟的技术防火墙不采用,而让ddos厂商成天挤对?这有如下几个方面的原因:

1:防火墙也用syn cookie进行synflood防御的,但大多不是静态syn cookie,而是严格记录连接状态采用动态syn cookie,所以当syn flood攻击时不光消耗CPU,还要消耗大量内存。这也就是我本文开头提及的本方法可以攻击大部分ddos厂商和小部分防火墙厂商的原因。

2:syn cookie/syn proxy是bsd系统内核源码的一部分,在Linux最新版的2.6内核中syn proxy还没有被包含。所以ddos设备也大多由bsd系统组成。当然bsd是开源的,移植也不是什么大问喽。

3:防火墙大多以Linux下的开源软件netfilter为基础,但netfilter中hash算法和连接表设计不是很优秀,防火墙转发性能的瓶颈就在于此,如果再加入syn proxy表项,会进一步降低对数据包的处理能力或加大连接表体积。高端防火墙大都支持数百万的连接数,这百万的表项就够防火墙喝一壶的了,再加一个syn proxy表项,性能还不得掉的稀里哗拉的?

4:防火墙很重要的一个网络功能就是DNAT,在没有DNAT操作前,防火墙不知道这些syn包的最终目的地是自身还是DMZ区的服务器,所以syn包必须DNAT后才知道是否要进行syn cookie保护。但这时就已经进入到netfilter处理框架了,性能当然就跟不上了。你见过几个ddos设备支持NAT的?如果支持了,他的性能也会下降不少。如果防火墙工作在桥模式下,不经过netfilter处理框架,防火墙就可以摇身一变成为性能卓越的抗ddos设备了,吗功能都没有,当然一身轻松了。呵呵…但您买的是防火墙,会这么大材小用吗?


言归正传,采用静态syn cookie的ddos设备,我们只需要重放一个ack包就可以达到与服务器的三次握手效果,因此可以做到源IP地址伪装。(这个伪装的源IP地址是你以前用过的,并且与ddos设备通讯过,并保存下来的,现在将它重放而己。如果你看不懂我在说什么,参照我写的《对国内ddos厂商技术点评》一文,抓包分析一下就知道了)。第二步就是发送一个正常的http request请求,随后就是大量的虚假ack请求重传。
天知道,谁在用我们伪装的源IP地址,做为一个连带的牺牲品。

你可能会认为受害服务器B会回复rst包给受害服务器A。这是有可能,但如果服务器B前面加装了一个“状态检测”防火墙,就会直接丢弃这个反射的http response数据包。

本思路有价值的地方:
1. 利用一条合法连接,对服务器进行下行带宽攻击,现在的“状态检测”设备不一定可以发现
2. 目标服务器应用层程序感知不到这种攻击,可以逃避基于应用层流量统计的防御方式,因为重传是TCP协议特性,TCP协议自动完成。重传的数据包,对应用层来说是透明的。
3. 现在只是一种思路,不局限于TCP协议。UDP加入重传机制后,也可以保证通讯可靠性。并且这是私人或公司独立开发的协议,漏洞会比TCP协议更大。
4. drdos的带宽放大效果也只不过是6倍而己,并且消耗的是上行带宽。
5. 真正的威胁不在现在,而是在对“长肥管道”的攻击效果。对方下行带宽越宽,攻击效果越明显。TCP会禁用分片,所以重传数据包大小依靠你与服务器之间最小的那个设备的MTU值,所以你见到的TCP协议的IP首部中的长度字段不会超时1518。但在“长肥管道”中,IP首部的长度字段会达到65535的极大值,对这些数据包的重传攻击,会达到令人吃惊的1:1024的放大效果。
1M对1G
1G对1T明白?就是因为这点,我才会提供本思路,否则1:25的消耗也是蛮力。

循环反射我倒是有兴趣去看下,`
我记得听我同学有提供,这样DDOS别人的机,效果好猛的.

帖子6 精华0 积分13 阅读权限40 性别男 来自中国-化州 在线时间2 小时 注册时间2008-2-6 最后登录2008-7-18 查看详细资料TOP

husheng34
荣誉会员

TOP

至于下载者的方式么  我还是用过的  效果平平........

帖子6 精华0 积分14 阅读权限40 性别男 在线时间3 小时 注册时间2006-4-24 最后登录2008-7-13 查看详细资料TOP

skypwf
寻找师傅

晶莹剔透§烈日灼然

TOP

循环反射是有的。。而且是前几年的东西。。。只是LZ说的和整栋楼上说都不是。。。

哪位牛Y能搞出来给大家分享那是最好的了。。
帖子42 精华0 积分149 阅读权限40 性别男 在线时间7 小时 注册时间2006-3-24 最后登录2008-1-11 查看详细资料TOP

bakurise
晶莹剔透§烈日灼然

TOP

人家都有命令行下的QQ,要实现命令行下的僵尸,它的操作估计要借鉴一下吧... [s:73]游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料TOP

virus-y2k
晶莹剔透§烈日灼然

TOP

修正一下,我不是大姐,拜托,我是GG  [s:75]

DOS下的僵尸貌似理论上可以实现.....应该是从命令行下的DDOS工具扩展的来着.... [s:73]

不过我不会写...游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料TOP

hackest
运维管理组

TOP

原来你老是GG啊,我还以为你是MM呢……说不定还是个PLMM呢……唉……事与愿违啊
asm大哥,你就成全了我吧……变成MM,而且要是PL的那种。[s:39]
其实命令行下的DDOS工具我也只是说说的……感觉实现起来较难,操作起来更难,而且界面也是个问题  [s:35]My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

asm
运维管理组

TOP

额,要想有人解释,找恒.....或者要他软件的源码  [s:39]游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料TOP

hackest
运维管理组

TOP

那个东西要钱的……要代码是不可能的了。asm大姐,你用win32汇编写个在CMD下运行而且能上线的僵尸……哈哈……貌似现在还没有这样的僵尸吧?偶第一个试用你的僵尸 [s:39]My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

asm
运维管理组

TOP

可是没试过的话真是不怎么信的,原理呢?怎么循环反射呢……一台肉鸡发的数据包很有限啊,怎么才能让他变成原子弹一样的连锁循环反射出去呢……郁闷哦,怎么没有人解释下相关技术细节的 [s:38]My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

asm
运维管理组

TOP

引用:
引用第10楼hackest于2006-11-26 21:11发表的:
DDOS目前只是靠些肉鸡的。不知道那个传说中的第三代循环反射技术是真是假,原理又是什么。一台普通肉鸡就可以D跨白宫……偶看了都不怎么信……这么厉害的DDOS软件真的有 [s:34]
貌似有些可能,你想想,一个原子核有多大?但是它链试反应出来能量是不是惊人?
在古代,谁会相信一个比芝麻鸟还小得多的核子,可以摧毁几座城市? [s:66]

E=mc^游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料TOP

hackest
运维管理组

TOP

DDOS目前只是靠些肉鸡的。不知道那个传说中的第三代循环反射技术是真是假,原理又是什么。一台普通肉鸡就可以D跨白宫……偶看了都不怎么信……这么厉害的DDOS软件真的有 [s:34]My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/

帖子882 精华20 积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3 查看个人网站
查看详细资料TOP

asm
运维管理组

TOP

貌似这类东西都是一个
类似于核弹的连锁反应
说白了

D无非就是拿自己机器(鸡)的资源和别人强拼
你1台服务器总炕不住我N台吧。

我觉得是不是能换个角度
从其他的地方想

现在如何如何的新思路、都局限这这个思维里的突破
要从新换个思维呢?

帖子12 精华0 积分47 阅读权限40 性别男 来自jci 在线时间2 小时 注册时间2006-8-9 最后登录2007-12-4 查看详细资料TOP

blackeagle
荣誉会员

TOP

引用:
引用第4楼骑士精神于2006-09-30 21:12发表的:
我想出了一种BT的DDOS,现在有很多多项下载者,用一个下载者下载很多同样的下载者,这样就行成了恶性循环,配置不好的机器一下就垮掉了.这种方法不知大家试过没???
怎么讲,如果你有大批量的ADSL鸡,而且可以批量控制,比如灰鸽子,当然可以实现这样的攻击...一台没必要下多大的包,只要持久,拉死一台100M独享是容易的事。。。

以前我在一个alexa400站里插过一个下载者,目标下载执行是个200K的程序,当时是很垃圾的网马,中率很低的那种.....我粗略计算过,一秒可以上20多台,5分钟左右,我的100M共享服务器,就访问不了了data Erro!!

帖子57 精华0 积分2898 阅读权限100 在线时间50 小时 注册时间2005-9-16 最后登录2008-4-30 查看详细资料TOP

hackest
运维管理组

TOP

貌似这些都是类似与循环反射,,,不过,,应该不是吧。。。。
帖子42 精华0 积分149 阅读权限40 性别男 在线时间7 小时 注册时间2006-3-24 最后登录2008-1-11 查看详细资料TOP

linhui
晶莹剔透§烈日灼然

TOP

引用:
这里是引用第[4 楼]的骑士精神于2006-09-30 21:12发表的:
我想出了一种BT的DDOS,现在有很多多项下载者,用一个下载者下载很多同样的下载者,这样就行成了恶性循环,配置不好的机器一下就垮掉了.这种方法不知大家试过没???
那你是DOS别人呢?还是DOS自己呢?

帖子3776 精华70 积分18704 阅读权限200 性别男 来自天津 在线时间1646 小时 注册时间2004-8-16 最后登录2008-7-22 查看个人网站
查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

沧海一声笑cn
晶莹剔透§烈日灼然

TOP

引用:
引用第5楼sunwear于2006-09-30 21:45发表的:

那你是DOS别人呢?还是DOS自己呢?
可不可以用合法的方法让对方下载这个东西呢??比如告诉他这个东西很好看.

还有可能利用网站上的一些合法功能,例如上传附件,附件开始上传以后,那服务器就要下载保存,按照4楼的思路,开始DOS......为国家富强奋斗,为人民疾苦呐喊!
帖子48 精华2 积分147 阅读权限40 性别女 来自河南开封 在线时间12 小时 注册时间2006-1-24 最后登录2007-2-12 查看详细资料TOP 让女孩一夜变的更有女人味

virus-y2k
晶莹剔透§烈日灼然

TOP

本文档的Copyleft归skipjack所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。
邮箱: skipjack@163.com
来源:http://skipjack.cublog.cn


以下链接是CU原文出处,里面有很多讨论:

http://bbs.chinaunix.net/viewthr ... ge=1&highlight=

看了zjzf_1的《问绿盟黑洞》的文章好几天了,有点想法不吐不快。前两天正忙,现在闲下来了,说说我的想法,以前和zjzf_1也有过交流,主要感觉此人就是一个扛头,扛了又扛。扛上开花的那种。文章中会提到一些厂商的技术,有正有反,大家不要对号入座,主要是希望对你们的技术提高有帮助。我以原始的ddos的先行者syn flood来举例说明,cc我不打算评价,因为我认为syn flood的效果远远好于cc,而隐蔽性是cc远远达不到的。先点评一下关于DDoS话题方面的一些网友的错误认识和厂商的技术弱点。以下如果没有特殊指明,ddos我指的就是syn flood这种最原始、最有效、最简单、最可爱的东西。

1.只要一谈论ddos想到的就是大流量,就是无边无际、无际无边的带宽消耗战。
错了,syn flood可不是带宽消耗战,drdos才是!那是因为syn flood的使用者使用不当,才会有今天大家的错误认识。

2.天,我CPU都满跑了,为什么目标机一点事都没有?我用的可以Linux下开源的、大家都害怕的、网评第1的攻击软件呀。
检查一下你的网关是不是有NAT,如果有。不是你的包没出去,就是你的网关快阵亡了,您赶快住手吧。
去掉你前面的防火墙,因为防火墙在你发起攻击时,最先受到损害,更重要的是它是你财产的一部分。
你极有可能拿一款ether下的攻击程序在pppoe网络中使用了,为了提高效率攻击数据包都是自己填充的,所以程序本身可能把数据包进行了 ether_type的二层封装,如果你在pppoe环境中攻击,请自己修改源代码改为PPPOE封装。否则的话,你攻击的不是目标机,而是在自己的房间里大小便。要学会分析协议,下面才是二层PPPOE封装的正确格式:
88 64 11 00 0B D0 00 56 00 21

3.这个ddos设备没什么了不起,用的就是syn cookie和syn proxy。
我认为这两种方法是当前最有效的解决方法,就像攻击者必须联网才能发起攻击一样,这两种措施是必做的。如果您没用这两种方法就实现了ddos防御,以下的内容您就不用看了。因为您是我见过的第一牛人,我在您面前绝对是个晚辈的。在此就不浪费您的宝贵时间了。如果您感觉我还可救,给我留点面子传张纸条教侮我一番吧。

4.drdos比ddos时髦多了,可以四两拨千斤
真不好意思,syn ack这个数据包应该从内网口收到才对,从外网口收到时直接丢掉就可以了。它浪费的是你的宽带而不是内存或者大量的cpu。
你可能会说我后面的服务器是ftp并工作在主动模式,所以有时syn ack也是不能丢的。嗯…解决方案你自己已经说出来了,自己想个办法吧。

5.DDoS是最没有水准的攻击类型,菜鸟才用。
这只能说明你只是使用ddos工具的人,而不是一个编写ddos攻击类程序的人。大家知道一款好的ddos攻击软件,所发的包在各协议首部字段的合法范围内越随机越好。只要有一个字段该变但你没变的,特证过滤一下子就把你干掉了。如果攻击包是以多播、回环为源ip发送,我只能说攻击者在和你开玩笑,看看日历确认今天不是愚人节。
但满足随机就是好的攻击软件吗?喵~喵~俺家的小花猫都知道,远远不是滴,单纯发syn攻击包就不是好的攻击方式。浪费ddos设备资源的是握手的第三个 ack包。但第三个包构造上又很有讲究,举个例子:国内某某ddos厂商的主页,我小流量正常访问时抓包,可以发现他没有做syn proxy,但当我1000pps时,通过抓包就可以看出,他启用syn proxy了,并且syn cookie也随之打开了,你问我怎么知道的?看看它回复的syn ack包的tcp选项部分的变化你就明白了。这时是他启用防护的时机,也是它最脆弱的时候,细心的构造一个syn包,一个ack包,算准了它的 cookie,喂给它。喵~小花猫都知道5000pps足够了。我不是有意这么做的,是它在CU里叫大家帮忙做测试,我简单的分析了一下,是这个原理。没叫劲,睡觉了,第二天具说有3000台肉机参与了,不知是真是假,如果没有了解原理,你就算动用8000台也没用啊!
这里真正的技术是推算cookie,但我在市面上找不到一款ddos攻击软件有这个方面的功能,你可能会说这不就是cookie攻击吗,我不这么认为,我不会发大量的ack来消耗它的cpu资源,我只是想钻它算法的空子。因为一种cookie的算法就好比是一类ddos设备的指纹,推出这个cookie的参数与运算法则,以后遇到它的时候,它就死定了。当然厂商也不傻,算cookie的参数是个很大的数并且还是在不断变化,但不会经常变,每次启动的时候变一次就算很智能了。因为每天小花猫吃饭的时候,我都会便顺发送一个相同的syn包给它,它返给我的syn ack中的cookie一直都是一样的。哈哈…如果我有耐心,终有一天我会推出来的,注意:这个syn包源IP是真实的,所以我能观察到它的返回数据包,并且他根本就发现不了偶。一天才一个syn包嘛。
顺便问问版主,绿盟在测试黑洞的时候,肯定有一种攻击软件是他们自己写的,针对自己的产品的弱点、软肋、命门、死穴、扪门发送5000pps应该就可以挂了。喵~喵~喵~小花猫咽到了。

6.这个百兆ddos设备真牛呀,百兆的线路我都D满了,还可以正常访问保护的服务器
你的感叹用错对像了,你应该感叹于这条网线的质量很好,一条质量优秀的网线,百兆千兆的确都可以跑起来呀。另外一个设备适用于百兆还是千兆环境的瓶颈,你没有弄清楚。我用82559网卡,我的算法再好也不可能你把百兆线路D满了,后面的服务器你还可以访问。你的这种情况,我可以很负责任的告诉你,这个外表百兆ddos设备实际采用了千兆平台和千兆网卡,而流量的瓶颈在你测试中的其它结点上。仅此而己。

7.我们的算法不对syn包做回追处理,所以你的下行带宽没有被浪费。
这话也说的出口,真汗!小花猫甩甩尾巴跑去喝水了。你把10kpps的发包器真接插在百兆ddos设备上面试一下,看看是回复syn ack时CPU使用率高,还是只接受syn包不回复时CPU占用率高。告诉你,后者的cpu占用率更高一些。为什么呢?因为我回复syn ack时也是一种另类的保护策略,在局域网中,攻击者发的数据包也必须依照冲突检测载波监听的方式来发送攻击包,如果你回复等量的syn ack也就是在堵攻击者的嘴,他发包的速度会成倍的减下来。这意味这什么?意味着你用你的下行带宽换来了上行带宽,这么好的机会你为什么要放弃?这就好像一群人在用砖头拍你,拍的你上串下蹦,左躲右闪,累的你呼吃带喘,你心里还在想我TM怎么这么聪明呀,没有回拍他们,节约了不少力气,所以现在身行才能如此敏捷。

8.你看我们的设备连IP地址都没有,可以实现网络隐身,所以很安全
幸好小花猫不在身边,否则还不得被呛个半死呀。这个因果关系也说的出来?那我是不是可以说工作在桥模式下的设备都很安全?这是我见过的最大的拿缺点当优点忽忧人的说词。你把IP地址给我设上,我为什么要网络隐身啊,我光明正大!你不是防ddos攻击吗?你自己的ip为什么不敢暴露在公网上提供http管理控制?厂商会找出各种的手段来忽忧你,以下是最常见的托词:设置管理IP地址当然可以了,但要从另外的一个网口专门引出来,并且我们不对管理网口做防护,因为这样会增加我们系统的负载呀。呀~~呀~~呀~~,回想起测试性能的时候他们好像说自己的算法很牛,什么国际领先啦,什么可以抵御所有未知的ddos 攻击啦,什么算法CPU零负载啦,什么指纹啦,什么单向数据包一次检测啦,什么身份证啦、什么syn包实名制啦、什么暂住证啦….什么这个,什么那个了,你都这么强了,暴露一下嘛。
  不想做过多技术分析,主机型syn proxy syn cookie和网关型syn proxy syn cookie的难度不是一个数量级,原因是厂家为了效率把syn proxy syn cookie都在驱动层实现了,你叫他们把数据包上送到系统的TCP/IP协议栈给系统自身,真的是很难为他们。但你实现不了可以直说,忽忧我家小花猫就不厚道了。

9.我们的设备是透明接入,不会修改你的拓扑
嗯…这要看你对透明接入的了解程度了,我翻了翻所有ddos厂商的手册,吃惊的发现,都是一个模子,不知是谁抄谁的。上画三张用户常用拓扑,一个保护服务器、一个保护防火墙,一个保护网络,就认为自己可以全透明接入了?下面这张图你能透明接入吗?内网为三个VLAN网段,服务器放在VLAN2中,每个网段互相访问都必须通过防火墙内网口的三个对应VLAN网卡(各网段默认网关),防火墙通过DNAT后对外映射VLAN2网段服务器。我的要求是即要求你防外网的ddos还要你防止内网对VLAN2的ddos,敢问您,您打算怎么个透明进入法?
1)    透明接入在防火墙外网口?
2)    透明接入在防火墙内网口?
你八成会修改我的拓扑,把VLAN2转到DMZ,然后透明接入在防火墙DMZ网口上

        外网
        |
        防火墙
        |
        |交换机trunk口
        |
       switch
   |      |      |
   VLAN 1    VLAN2    VLAN3

10.利用超时重传来判断syn包是否合法
这种方法是相当的有效啊,远处传来小花猫的声音:“给它在三秒钟之内发第二个syn包”

11.可能您感觉本文写的不错,但要转载的时候,请注明原作者是skipjack,仅些而己,谢谢了
很不幸,年初时给国家某某一级刊物投稿,先开始写了8000字,后来叫我一删再删,删了再删,图是左减一个,右减一个,上减一个,下减一个,前减一个,后减一个。本来是一个从浅入深的分析过程,后来成了个半掉子,没几个人可以读懂了。稿费汇给我时,我都快哭了,4000多字才给俺103元,从邮局走出来的时候,手里握着这103元钱,心里想:“今儿中午我是请老婆吃饭呢,还是请小花猫吃饭呢?”。

帖子104 精华6 积分3337 阅读权限100 性别男 在线时间69 小时 注册时间2005-2-5 最后登录2008-1-3 查看详细资料TOP

骑士精神
晶莹剔透§烈日灼然

TOP

我想出了一种BT的DDOS,现在有很多多项下载者,用一个下载者下载很多同样的下载者,这样就行成了恶性循环,配置不好的机器一下就垮掉了.这种方法不知大家试过没???

帖子5 精华0 积分12 阅读权限40 性别男 来自河南 在线时间0 小时 注册时间2006-9-30 最后登录2008-5-16 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

sunwear
团队执行官

TOP

1请注意有两种攻击方式,2对方不是弱智防火墙是专业设备。

帖子104 精华6 积分3337 阅读权限100 性别男 在线时间69 小时 注册时间2005-2-5 最后登录2008-1-3 查看详细资料TOP 赚更多的钱

linkboy
荣誉会员

TOP

返回列表