Sync Flood与三次握手

1. Sync Flood

是一种拒绝服务攻击,原理是利用三次握手的过程进行攻击。正常三次握手的时候,服务器返回SYNC+ACK给客户端时需要有个半连接队列。攻击者伪造大量不同源的TCP SYNC包即可让半连接队列填满导致DOS。

2 . 解决方案SYNC Cookie

原理:第三次握手的时候不存放半连接队列。根据收到的信息结合IP、端口等包信息利用MAC函数和SHA1计算出一个SYNC cookie发送给客户端。最后收到ack的时候在校验cookie即可。

总体思路就是知道一个防伪造的cookie

具体算法流程可以参考下别人的文章:SYN Cookie的原理和实......

使用tshark在命令行进行网络抓包

使用wireshark的客户端进行抓包,或者tcpdump抓包再用wireshark分析,网上已经有很多资料了,这里就不再赘述了。不熟悉的可以看看网上的资料:http://www.jianshu.com/p/a62ed1bb5b20 或者官方文档user guide:https://www.wireshark.org/docs/wsug_html_chunked/

线上问题排查,有时候时间争分夺秒,或者一些私有云环境完全隔离,根本没法让你导出抓包的文件,这时候需要直接使用命令行进行抓包分析。今天我们就来学习下tshark的使用。PS: tshark基本上可以替代tcpdump,抓包的文......