|
1、实验之前简单说一下syn攻击的内容。TCP建立连接一共有三次握手过程,首先是客户端以一个随机的端口号为源端口,以目的服务的tcp端口号为目的端口,发起一个syn的连接,当服务器收到这个连接之后,会会送一个syn ack的包,这个包中就包括了建立连接的一些属性参数之类的东西了。同时服务器会预留一个位置给这个连接,这个时候正常情况下客户端会会送一个ack的包,这样就可以建立连接了,但是黑客在这个时候就会撑着服务器,然后再发一个建立连接的包,这样服务器一直预留连接,就会把服务器的资源消耗干净了,正常的服务就无法提供了。
2、注意的是这个服务只针对tcp的连接,如果一个服务使用的不是tcp的连接,那么自然不能收到攻击。
3、思科的ios对这个攻击的解决办法有两种,一个是路由器的ios会模拟成一个tcp的服务器和客户端建立连接,当能够三次握手之后,再模仿客户端和后台的真正服务器建立三次握手,这样只有真正好的好人才能最终连接到真实的tcp服务器,这样也就保证了tcp服务器的安全。另一个方式是客户端正常的和真实的tcp服务器连接,但是你通过路由器转发的时候,路由器会限制你的发送时间,只有在一个特定的时间内建立了连接才算数,超过这个时间,路由器会发送一个释放连接的包给tcp服务器,这样tcp服务器不会死等黑客的所谓连接了。
4、这个安全特性使用性不太高,实验它只是为了了解其中的防护方法,拓展思维罢了。真正的如果有DOS攻击,保护了tcp服务器了,但是路由器的负荷会非常大的,服务器没事,路由器就挂了。
RFC1918:
3. 私有地址空间
因特网域名分配组织IANA组织(Internet Assigned Numbers Authority)保留了以下三个IP地址块用于私有网络。
10.0.0.0 - 10.255.255.255 (10/8比特前缀)
172.16.0.0 - 172.31.255.255 (172.16/12比特前缀)
192.168.0.0 - 192.168.255.255 (192.168/16比特前缀)
我们把第一块称为“24-比特块”,第二块称为“20-比特块”,第三块称为“16-比特块”注意(在前面的CIDR 记号中),第一块地址就是一个A类网络号,第二块地址是16个连续的B类网络号集合,第三块地址是256个连续的C类网络号集合。
一个决定使用该文档中定义的IP地址空间的企业不需要与IANA组织或Internet 地址注册组织进行协商。这样,该地址空间可以被许多企业使用。私有地址空间中的地址仅在一个企业内部或在一组选择在该空间协同通信的企业内部保证唯一,这样他们可以在自己拥有的私有网络内部实现通信。
以前,任意一个需要使用全局唯一地址的企业必须向Internet注册机构提出申请。上述定义的私有地址空间中的地址块将不会被Internet注册机构分配给一个申请用于外部连接的IP地址的企业。
要使用私有地址,企业要决定在可预见的时期内哪些主机不需要与外部建立网络层连接,从而将这些主机归类为“私有的”。这类主机将使用上述定义的私有地址。私有主机能与企业内的所有其他主机通信,包括“公开的”和“私有的”的主机。但它们和企业外部的任何主机都没有IP 连接。尽管如此,它们仍然能通过中介网关(如应用层网关)访问外部服务。
其他的主机将被归类为“公开的”,这些公开主机必须使用由Internet注册机构分配的全局唯一的地址空间。公开主机可以与企业内部的其他公开主机和私有主机通信,它们可以具有与企业外部公开主机之间的IP连接。公开主机与其他企业内部的私有主机之间没有连接。
将私有主机转为公开主机或是相反的操作涉及到IP地址的转换,DNS中相关记录的改变和在其他主机上用IP地址来标志该主机的配置文件的改变。
因为私有地址没有全局意义,因此在企业之间的链路上没有必要传播私有网络的路由信息。源或目的地址为私有地址的包也不应该在这样的链路上被转发。网络中不使用私有地址的路由器,尤其是那些属于ISP的路由器,期望被设置为拒绝(过滤)关于私有地址的路由信息。如果一个路由器接收到这样的信息,拒绝操作不应该被视为路由协议错误。
对于这样的地址的非直接参考应该被包含在企业内部。关于这样的参考,一个突出的例子是DNS中的 Resource 记录(Resource records) 和其他有关内部私有地址的信息。特别的(In particular),ISP应该采取措施防止这样的泄露。
RFC3330:(扩大版的1918)
3. Summary Table
Address Block Present Use Reference
---------------------------------------------------------------------
0.0.0.0/8 "This" Network [RFC1700, page 4]
10.0.0.0/8 Private-Use Networks [RFC1918]
14.0.0.0/8 Public-Data Networks [RFC1700, page 181]
24.0.0.0/8 Cable Television Networks --
39.0.0.0/8 Reserved but subject
to allocation [RFC1797]
127.0.0.0/8 Loopback [RFC1700, page 5]
128.0.0.0/16 Reserved but subject
to allocation --
169.254.0.0/16 Link Local --
172.16.0.0/12 Private-Use Networks [RFC1918]
191.255.0.0/16 Reserved but subject
to allocation --
192.0.0.0/24 Reserved but subject
to allocation --
192.0.2.0/24 Test-Net http://www.luyouqiwang.com/13819/
192.88.99.0/24 6to4 Relay Anycast [RFC3068]
192.168.0.0/16 Private-Use Networks [RFC1918]
198.18.0.0/15 Network Interconnect
Device Benchmark Testing [RFC2544]
223.255.255.0/24 Reserved but subject
to allocation --
224.0.0.0/4 Multicast [RFC3171]
240.0.0.0/4 Reserved for Future Use [RFC1700, page 4]
RFC2827:
建议ISP在用户连接的端口上开启访问控制列表,deny掉除分配给客户的公网IP以外的所有IP地址到Internet上去。 | 
