事實上他們應該是進行SYN Flood攻擊
利用程式產生不屬於自己IP的封包丟往攻擊的目標
如果該封包的偽造IP有在使用, 那被攻擊的目標會回傳二次封包資料回去偽造IP
如果該封包的偽造IP沒有在使用, 那被攻擊的目標會因為等不到回應而在等待回應
這會產生二個可以觀察到的狀況在被攻擊的目標上
1. 流量圖上出去的流量會突然昇高
2. 被攻擊的目標會有一堆等待的連線, 在WINDOW 2000可以在 指令視窗下 執行netstat -na 觀察狀態
攻擊一開始, 被攻擊的目標會有點停止回應任何操作
因為處理大量的連線及等待回應, 最終把資源用完了。
面對這樣子的攻擊, 防制的方式
被攻擊者只能利用多個IP及DNS的平衡負載功能來抵抗外, 別無他法
然後面對攻擊者的要求斷然的拒絕, 態度太軟, 下次還會來。
根治之道只能要求ISP設定不轉發不屬於自己IP的封包
不是要求HINET, 是要求大陸方面的ISP, 很難吧~~
有使用下面連結所提的程式碼, 測試攻擊內部電腦, 防火牆上的記錄IP都是程式產生的, 攻擊來源根本無法追查
以下提供一些資料提供參考
http://www.study-area.org/tips/syn_flood.htm
這裡的內容對SYN Flood做了詳細的說明
也提供了攻擊用的程式碼, 需要進行部份修正才能正確執行
有興趣的人可以研究看看。
http://www.microsoft.com/taiwan/msdn/secmod/html/secmod109.mspx
這個是針對window 2000 進行 TCP/IP 堆疊強化設定
可以利用上一個網址的程式來測試設定有效與否
沒有留言:
張貼留言