TCP半开攻击（伪造客户端发送SYN、伪造服务器发送RST）

TCP syn攻击--半开攻击

思路:

在服务器等待客户端的ACK回应时，攻击目标服务器的特定端口

环境：

• RHEL7.5是TCP请求方 IP：192.168.211.134
• RHEL7.2是服务器 IP：192.168.211.133
• Kali是攻击者 IP：192.168.211.130

设计：

 

首先，RHEL7.5利用TCP的子协议telnet登录到RHEL7.2这个Server上

这时，服务器就会有一个与192.168.211.144的随机端口建立成功的tcp会话

实施攻击：

sudo netwox 76 -i "192.168.211.133" -p "23" 

 

这时查看服务器的tcp会话，可以发现被SYN攻击了

netstat -na | grep tcp

如果将服务器的抵抗洪范的机制设置关闭，那么客户端将无法连接到服务器

服务器关闭洪范保护

客户端不能连接服务器

防御：

开启洪范保护

sudo vim /etc/sysctl.conf //编辑文件

net.ipv4.tcp_syncookies = 0 设置为0 放弃syn防御 1视为开启防御

 

---

TCP RST攻击

思路：

伪装成服务器向受害主机发送一个复位报文

后果：

受害主机收到服务器发送的复位报文就会立即释放连接并清空缓存

环境：

• RHEL7.5是主机   IP：192.168.211.134
• RHEL7.2是服务器 IP：192.168.211.133
• Kali是攻击者 IP：192.168.211.130

设计：

部署：

sudo netwox 78 -i 192.168.211.134

当客户端主机登录到服务器上后，Kali实施攻击，伪造成服务器向客户端主机192.168.211.134发送一个TCP RST报文

 

这时，客户端直接与服务器断开连接，由于我用的时ssh，则连ssh的TCP连接也断开了，并且再次连接还是连接不上

 

攻击者停止攻击，客户端的ssh服务才能恢复正常

 

怎么防御？

防火墙

---