TCP syn攻擊--半開攻擊
思路:
在伺服器等待用戶端的ACK回應時,攻擊目标伺服器的特定端口
環境:
- RHEL7.5是TCP請求方 IP:192.168.211.134
- RHEL7.2是伺服器 IP:192.168.211.133
- Kali是攻擊者 IP:192.168.211.130
設計:
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLiAzNfRHLGZkRGZkRfJ3bs92YsYTMfVmepNHL1sGRPVTVU9EeRpHW4Z0MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL3QDN5UTNzADM4EzMwAjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
首先,RHEL7.5利用TCP的子協定telnet登入到RHEL7.2這個Server上
這時,伺服器就會有一個與192.168.211.144的随機端口建立成功的tcp會話
實施攻擊:
sudo netwox 76 -i "192.168.211.133" -p "23"
這時檢視伺服器的tcp會話,可以發現被SYN攻擊了
netstat -na | grep tcp
如果将伺服器的抵抗洪範的機制設定關閉,那麼用戶端将無法連接配接到伺服器
伺服器關閉洪範保護
用戶端不能連接配接伺服器
防禦:
開啟洪範保護
sudo vim /etc/sysctl.conf //編輯檔案
net.ipv4.tcp_syncookies = 0 設定為0 放棄syn防禦 1視為開啟防禦
TCP RST攻擊
思路:
僞裝成伺服器向受害主機發送一個複位封包
後果:
受害主機收到伺服器發送的複位封包就會立即釋放連接配接并清空緩存
環境:
- RHEL7.5是主機 IP:192.168.211.134
- RHEL7.2是伺服器 IP:192.168.211.133
- Kali是攻擊者 IP:192.168.211.130
設計:
部署:
sudo netwox 78 -i 192.168.211.134
當用戶端主機登入到伺服器上後,Kali實施攻擊,僞造成伺服器向用戶端主機192.168.211.134發送一個TCP RST封包
這時,用戶端直接與伺服器斷開連接配接,由于我用的時ssh,則連ssh的TCP連接配接也斷開了,并且再次連接配接還是連接配接不上
攻擊者停止攻擊,用戶端的ssh服務才能恢複正常
怎麼防禦?
防火牆