文章目录:

• 1、syn攻击问题
• 2、怎么阻止syn-flood攻击??高手请进
• 3、syn flood属于ddos攻击么
• 4、如何实现syn攻击
• 5、局域网内被SYN攻击和UDP攻击
• 6、如何用netwox工具实现syn flooding攻击

syn攻击问题

可能在网关上有流量清洗设备定期发送rst报文或者舍弃连接来检验发送端的ddos攻击可能。或者网关具有分布式过滤系统。

怎么阻止syn-flood攻击??高手请进

用iptables对付syn-flood攻击:

使用说明:

1、 下图为打开SYNKFW.EXEsyn流量攻击软件的界面形状syn流量攻击软件，其中包括了新建攻击、激活线程和退出选项。

在此我们要说一下为什么要发布这个SYNKFW的终结者的DDOS类工具syn流量攻击软件，原因是正版的KFW也就是傲盾防火墙被所谓的中国黑客联盟破解syn流量攻击软件，并且正

在向网友进行销售，并且对外宣传是他们自己开发的产品，对于这种卑鄙的行为，我们感到可耻！不过我们劝告大家，使用抗DDOS类产品的防

火墙最好使用正版授权，不要贪图便宜而去购买被破解后的版本，如果使用被破解后的KFW防火墙给自己带来任何的损失那后果将是惨重的，

发布这个版本就是打击使用破解后的KFW防火墙，如果正在使用破解后的KFW防火墙，在收到此工具发来的攻击包或许会导致你的硬盘损坏，请

正在使用盗版KFW防火墙的用户立即停止使用，否则给自己带来的损失将是惨重的！(同样黑盟也将会为此事付出代价的)

2、 下图是SYNKFW攻击属性设置的界面，我们简单介绍一下各个功能。攻击目标：你要攻击的机器，比如 192.168.0.1或者域名。

连接：选中连接选项后，攻击过去的SYN数据包全部是ESTABLISHED状态，但此选种此选项后攻击过去后，在被攻击机器上可以查到真实的攻

击IP地址，所以不建议选中此选项。

转移：只有在攻击目标那里输入的是被攻击的域名此功能才起作用，比如在攻击目标里输入的是 那么会自动攻击解析的IP地址

，如果域名更换IP后，攻击工具会自动刷新攻击新的IP地址，此功能只对部分的DNS服务器有效，例如万网，新网的DNS。如果攻击目标那里输

入的是IP地址，请不要选中转移选项。

伪造源地址：这里也可以不做任何设置，可以使用默认的，那么攻击过去的包是随机的，如果你想指定某一段或者某多段IP地址攻击，请设

置。例如我想伪造61段攻击目标，那么在那里改为 61.0.0.0到61.255.255.255 那么攻击过去数据包都是为 61.x.x.x开头的攻击包。

伪造源端口：这里同样也可以不设置，那么攻击所伪造的端口也是随机的，如果你想伪造某一个或者某一个范围的端口，请自己设置，例如

80-8000 然后选添加就可以了。建议使用默认的。

默认的攻击是不需要采用任何设置的，直接在攻击目标那里写如你要攻击的域名或者IP地址，然后按确定SYNKFW就开始攻击。一般3个线程可

以挂掉国内比较好的硬件防火墙。

3、开始实战了。我们去查一个开区着的私服吧。如下图，就拿第一行的私服来演习。IP地址:218.66.104.138,攻击端口:7000.

选择7000端口作为目标端口，原因跟上一篇xdos攻击文章一样，只要传奇私服开放着，它的7000端口就开放并且服务着。除非他要人为去修改

这个端口。要是服务器修改掉7000端口，他一定会公布出来，不然玩家都不能连接上服务器，因为登陆器连接服务器的端口默认为7000。

另外，攻击7000端口效果更为明显，直观，服务器失去抵抗能力的时候，我们从登陆器上检测它的连接状态是否良好，连接速度是否减慢。

就能立即知道服务器现在的防御状态。

4、反复建立攻击线程，建议使用我们站内提供的流量检测软件检测你的机器打出的攻击流量。可以一直建立攻击线程，直到机器流量打到峰值。

如果你要停止掉攻击，点"退出"就可以了。或者选中线程，点"激活线程"就可以执行攻击或则暂停的操作。

图片传不上来，你到这看：

被syn-flood攻击和局域网里面的电脑中毒无直接关系，但是会感染导致你的防火墙无效~~呵呵，希望你得到解决~~~

syn flood属于ddos攻击么

同属于流量DOS攻击的一种。我们惠州高防机房经常防御SYN攻击，这种需要服务器具备更加细致的防御，也相对来说更加难防，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统。

一般的syn防御手段是：

1、过滤网关防护

这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。

2、加固tcp/ip协议栈

防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。

但是要想彻底的防御syn攻击我建议

我个人认为这些(arp\udp\tcp syn攻击都是底层协议漏洞造成的。

一些传统的360卫士、arp防火墙，杀毒软件我都试过了也都不行。

要想彻底解决内网问题，我建议你可以试试免疫网络解决方案，我之前的内网攻击问题都是通过免疫网络解决的。

如何实现syn攻击

对付SYN FLood攻击，可以采取以下几种方式进行缓解：

第一，减少系统SYN等待时间（只能缓解攻击），

第二，对攻击源地址进行过滤（但是对于伪造精细的报文无效），

第三，修改系统SYN_back_log上限（只能缓解攻击），

第四，将系统SYN的重发次数降低（可以缓解攻击），

第五，如果是Linux系统，可以升级内核并设置Syn_cookies（极大缓解攻击）。

如果需要根治这种攻击，就必须在要保护的主机或网段前添加专门的防攻击的过滤设备了，而且通常的防火墙，很可能也无法抵御这种行为。

局域网内被SYN攻击和UDP攻击

拒绝服务攻击(DoS)是目前难以防范的攻击手段。此处所讲述的“DOS攻击”主要指局域网内部由于病毒爆发、人为的恶作剧以及其它情况产生的大量的ICMP-FLOOD数据包、UDP-FLOOD数据包、TCP-SYN-FLOOD数据包等造成的网络堵塞，海量的垃圾数据将消耗掉大量的资源从而导致局域网内部计算机不能访问外部互联网。现在大部分路由器都自带有对DoS攻击的防范功能，只需将其开启即可。

【安全设置】-【高级安全选项】里的默认参数如下：

ICMP-FLOOD数据包阈值： （5～3600） [ 50 ]包/秒

UDP-FLOOD数据包阈值： （5～3600） [ 500 ]包/秒

TCP-SYN-FLOOD数据包阈值：（5～3600） [ 50 ]包/秒

在路由器相关的配置界面【高级安全选项】中启用DoS攻击防范选项即可，如下图所示。

提示：DoS攻击一般是采用一对一的方式，当攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时，那么它的攻击效果是明显的。

一般来讲，路由器都有一个最大并发连接数的限制，如果路由器内产生的并发连接数已经接近极限或者满载，这将导致内网的其它计算机打开网页的时候感觉很卡或者根本打不开网页。如上所示，TP-Link R460多功能路由器开启“DOS攻击防范”功能后，在实际操作中发现，这不仅有效实现了防范局域网产生DOS攻击的初衷，而且还可以实现对设置不当的BT下载进行封杀的功能

如何用netwox工具实现syn flooding攻击

原理：在SYN Flood攻击中，利用TCP三次握手协议的缺陷，攻击者向目标主机发送大量伪造源地址的TCP SYN报文，目标主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但由于端口的半连接队列的长度是有限的，如果不断的向受害主机发送大量的TCP SYN报文，半连接队列就会很快填满，服务器拒绝新的连接，将导致该端口无法响应其他机器进行的连接请求，最终使受害主机的资源耗尽。

防范手段： 优化系统配置：包括缩短超时时间，增加半连接队列的长度，关闭不重要的服务等。

优化路由器配置：配置路由器的内、外网卡。

完善基础设施：增加源IP地址检查机制等。

使用防火墙：采用半透明网关技术的放火墙可有效防范SYN Flooding攻击

主动监视：监视TCP/IP流量，收集通信控制信息，分析状态，辨别攻击行为。