由于近几日要在实验室进行做一次preseation,要做一个PPT,写到SYN Cache部分的时候,就捡起以前的一篇论文来看,发现以前对SYN Cookie的弱点认识不足,对SYN Cache认识也不全面。
SYN Cookie的缺陷:
1、无法理解SYN包中一些字段,例如MSS、时间戳等
2、由于无状态机制,如果客户端回应的ACK在传输过程中丢掉了,就会导致客户端和服务器端状态的不一致,客户端认为连接已经建立,但是服务器端没有建立,通常这个问题可以通过SYN-ACK的重传机制来解决,但是SYN Cookie中没有这部分,最后就是服务器发送RST中断连接。
3、SYN Cookie存在ACK Flood攻击缺陷
4、如果攻击者攻破了算法,仅仅使用ACK就可以完成连接的建立。使得一些通过SYN包来进行过滤的防火墙失效。
SYN Cache:
会保存SYN包里面的所有的字段,这是SYN Cookie做不到的。
可以查看FreeBSD的源码:
阅读(6321) | 评论(0) | 转发(0) |
