各位前辈好~
想请教一下SYN/ACK attack要如何得知呢
(PS. 我这边提到的SYN/ACK attack是三方交握中...用SYN/ACK来攻击主机
不是用SYN来让主机造成等待ACK的状态)
目前我看到的状态是 封包发送到协助攻击的那端后
协助攻击端传送SYN, ACK给受害者
但是受害者马上回传 RST 断开两边的连线...
想请问有没有办法知道受害者受到攻击了呢
除了从网络流量外
另外我以前有听过从interrupt也可以看到
因为网卡一收到封包 就会有interrupt产生...
不过我从vmstat看到的in 感觉都没有变动耶~~是不是看错了呢
另外偷偷问一下...用这种方法想要瘫痪别人的网络 似乎不太可行吧~?
以最小的封包40byte为例 假设对方10MB
则需要25万个封包同时传递 才有可能达到瘫痪的效果....
想请问是不是有其他更有效的DDoS攻击守法呢~?
谢谢~~~

要瘫痪真的不是难事...付费就可以...DDOS有些价格昂贵的设备可以进行"某些程度"的阻挡...但前提是上面的水管要够大...你如果可以得知封包均是SYN+ACK那就是恶意行为...使用异常旗标被防火墙拦下的机会很高 这是防火墙可以挡的主要是塞流量而不是瘫痪主机的话 udp可能选择上更好些...SYN + source ip spoofing 比较像是一石二鸟的攻击但 source ip spoofing 穿越ISP时基本上应该要被拦阻

感谢s大的解说~~ 不过之前看过source if spoofing竟然可以穿越ISP... 比如说用学校或某些大网站来协助攻击 不知道怎么办到的~.~

很简单...ISP没有设定过滤 source ip 所以就穿出去了...

听起来有点类似Idle scan..