● 关于NT 对付的syn flood问题的探讨(rico isbase - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: bstone (无心伤害), 信区: Hacker
标  题: 关于NT 对付的syn flood问题的探讨(rico isbase)
发信站: BBS 荔园晨风站 (Fri Mar 17 21:03:25 2000), 站内信件

发信人: cloudsky (小四), 信区: Security
标  题: 关于NT 对付的syn flood问题的探讨(rico isbase)
发信站: 武汉白云黄鹤站 (Fri Mar 10 09:25:19 2000), 站内信件

NT 操作系统目前没有一个很好的对付syn flood的办法。
以下只是对其问题的探讨。
在正常情况下， NT3.51 和NT 4.0重发syn-ack包的缺省值是5。初始的第一次
重发的的超时是3秒；每一次重发失败这个值是会加倍（由于欺骗性的ip地址，
所以重发绝不会成功）因此，接收方对于接收到的每一个syn的连接请求每隔
3、6、12、24、和48秒。在最后一次重发之后，接受方在96秒内接收不到回应
就会放弃重发。也就是说在一个syn 连接请求在使用虚假ip源的时候，接收方
的机器从初始的请求建立到最终的超时放弃所等待的时间总和是189秒。
    在这189秒的等待过程中，接收从初始的syn连接请求建立的资源一直被占用。
因而当攻击方发起大量的syn flood的时候，机器的性能会急剧下降。

在winndows nt4.0 sercice pack2 or over 的版本上，增加了一个注册表上的键值
  名称：TcpMaxConnectResponseRetransmissions
  缺省值：3
  类型：REG_DWORD
值范围：0，1，2，3
值描述：
值  syn-ack重发的时间   失去的时间              结果
值  syn-ack重发的时间   失去的时间              结果
0    syn-ack不重发       0           请求连接将在3秒内结束。可能令超
                                     时的合法连接失败
1      3秒               9秒         上次重发后6秒内一切请求活动结束
2      3秒和6秒          21秒        上次重发后12秒内一切请求活动结束
3      3秒、6秒、12秒    45秒        上次重发后24秒内一切请求活动结束

很明显看出，nt的没有一个彻底的解决syn flood的方法，上面的方法只是减缓。
加大服务器的性能和配合各种平衡负载技术，可以让syn flood在限的wan带宽下
不足以达到令服务器超载的连接数目。
最好的解决方法还是在nt 服务器前面加上可以抵御syn flood的攻击防火墙。

如有什么好的idea,请发表

--
            我问飘逝的风：来迟了？
            风感慨：是的，他们已经宣战。
            我问苏醒的大地：还有希望么？
            大地揉了揉眼睛：还有，还有无数代的少年。
            我问长空中的英魂：你们相信？
            英魂带着笑意离去：相信，希望还在。

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]

--
☆ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: bbs@192.168.28.23]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店