Wireshark网络安全之传输层安全-拒绝服务DOS介绍以及SYN Flood

DOS仅针对两种协议：UDP和TCP

////////////////////

WireShark进行分析三次握手
下图的前三行
都是通过TCP进行传送的
SYN
SYN+ACK
ACK
比如第一行：从本机57100端口发送到目标80端口，SYN
第四行表示成功
第六行也表示成功

///////////////////////////////////////////////

TCP SYN flooding安全测试
SYN—>服务
服务—>SYN+ACK
此时客户端不在发送ACK给服务端
则服务端处于等待时间

使用命令
hping3 -q -n --read-source -S -p 80 --flood 目标IP
-q：安静模式
-n：不解析
–read-source：使用随机IP
-S：发送SYN数据包
-p：端口
–flood：使用泛洪

攻击时使用wireshark抓包

你会看到很多SYN数据包发送到目标
并且每次发送目标都返回一个ACK+SYN
左边都是随机IP

用这种方法查看比较费时
我们使用统计中的flow graph流向图查看

192.168是你要攻击的目标IP
你会看到很多未知IP都没有完成第三步
左边是时间戳

////////////////////////////////////

TCP SYN flooding安全防御
1.丢弃第一个SYN数据包
因为flood攻击开启多个主机每一个主机都是只向目标发送一次SYN，然后耗你资源
这种方法弊端很大，万一正常用户访问
需要出错一次才能访问
2.反向探测
你向我发送SYN数据包，我先检测目标IP是否合法
如果不合法我就不会返回ACK+SYN
3.防火墙代理
你访问目标
先和目标的防火墙三次握手
确保IP是和法IP
成功之后目标才和你握手