Chinaunix首页 | 论坛 | 博客
  • 博客访问: 5771730
  • 博文数量: 675
  • 博客积分: 20301
  • 博客等级: 上将
  • 技术积分: 7671
  • 用 户 组: 普通用户
  • 注册时间: 2005-12-31 16:15
文章分类

全部博文(675)

文章存档

2012年(1)

2011年(20)

2010年(14)

2009年(63)

2008年(118)

2007年(141)

2006年(318)

分类: LINUX

2008-07-27 23:06:54

由于近几日要在实验室进行做一次preseation,要做一个PPT,写到SYN Cache部分的时候,就捡起以前的一篇论文来看,发现以前对SYN Cookie的弱点认识不足,对SYN Cache认识也不全面。

SYN Cookie的缺陷:
1、无法理解SYN包中一些字段,例如MSS、时间戳等
2、由于无状态机制,如果客户端回应的ACK在传输过程中丢掉了,就会导致客户端和服务器端状态的不一致,客户端认为连接已经建立,但是服务器端没有建立,通常这个问题可以通过SYN-ACK的重传机制来解决,但是SYN Cookie中没有这部分,最后就是服务器发送RST中断连接。
3、SYN Cookie存在ACK Flood攻击缺陷
4、如果攻击者攻破了算法,仅仅使用ACK就可以完成连接的建立。使得一些通过SYN包来进行过滤的防火墙失效。

SYN Cache:
会保存SYN包里面的所有的字段,这是SYN Cookie做不到的。
可以查看FreeBSD的源码:


阅读(6359) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~