攻击解析:一种全新的带宽攻击方式(图)

　　本思路是对

　　序号乱刀之二:攻击采用静态syn cookie的ddos设备防护下的服务器

　　所谓静态syn cookie就是以客户端请求之syn包为参数计算回复syn ack中的seq值，并在ack包回传时判断连接合法性的方法，这种方法被ddos厂商大量采用，并且获得数量可观的国家发明专利，呵呵….。你经常会听到ddos厂商的人说他们的设备比防火墙“牛”多了，可轻松达到百兆线速syn防御，但百兆防火墙30M攻击流量就可以干掉，说这种话的ddos厂商，我可以打赌他们的设备80%采用了这种syn cookie算法。

　　Syn cookie算法的好处是只在synflood攻击时消耗CPU资源，这对于X86下强悍的通用CPU来说，正适用。

　　读者可能会感到很奇怪，为什么如此成熟的技术防火墙不采用，而让ddos厂商成天挤对?这有如下几个方面的原因:

　　1:防火墙也用syn cookie进行synflood防御的，但大多不是静态syn cookie，而是严格记录连接状态采用动态syn cookie，所以当syn flood攻击时不光消耗CPU，还要消耗大量内存。这也就是我本文开头提及的本方法可以攻击大部分ddos厂商和小部分防火墙厂商的原因。

　　2:syn cookie/syn proxy是bsd系统内核源码的一部分，在Linux最新版的2.6内核中syn proxy还没有被包含。所以ddos设备也大多由bsd系统组成。当然bsd是开源的，移植也不是什么大问题喽。

　　3:防火墙大多以Linux下的开源软件netfilter为基础，但netfilter中hash算法和连接表设计不是很优秀，防火墙转发性能的瓶颈就在于此，如果再加入syn proxy表项，会进一步降低对数据包的处理能力或加大连接表体积。高端防火墙大都支持数百万的连接数，这百万的表项就够防火墙喝一壶的了，再加一个syn proxy表项，性能还不得掉的稀里哗拉的?

　　4:防火墙很重要的一个网络功能就是DNAT，在没有DNAT操作前，防火墙不知道这些syn包的最终目的地是自身还是DMZ区的服务器，所以syn包必须DNAT后才知道是否要进行syn cookie保护。但这时就已经进入到netfilter处理框架了，性能当然就跟不上了。你见过几个ddos设备支持NAT的?如果支持了，他的性能也会下降不少。如果防火墙工作在桥模式下，不经过netfilter处理框架，防火墙就可以摇身一变成为性能卓越的抗ddos设备了，吗功能都没有，当然一身轻松了。呵呵…但您买的是防火墙，会这么大材小用吗?

　　言归正传，采用静态syn cookie的ddos设备，我们只需要重放一个ack包就可以达到与服务器的三次握手效果，因此可以做到源IP地址伪装。(这个伪装的源IP地址是你以前用过的，并且与ddos设备通讯过，并保存下来的，现在将它重放而己。如果你看不懂我在说什么，参照我写的《对国内ddos厂商技术点评》一文，抓包分析一下就知道了)。第二步就是发送一个正常的http request请求，随后就是大量的虚假ack请求重传。

　　天知道，谁在用我们伪装的源IP地址，做为一个连带的牺牲品。

　　你可能会认为受害服务器B会回复rst包给受害服务器A。这是有可能，但如果服务器B前面加装了一个“状态检测”防火墙，就会直接丢弃这个反射的http response数据包。