SYN攻击实现

xxx.xx.xxx.xxx机器上用netstat –n –p tcp命令查看，可以发现很多SYN_RECEIVED连接。
而且都是发生在80端口上，而且无法正常访问80端口上的服务。其他的网络连接、服务都是
正常的。正常情况下不应该出现大量SYN_RECEIVED状态的TCP连接。例外这些连接的来源地址
都是有一定的规律。根据经验可以确定是有恶意者对xxx.xx.xxx.xxx进行D.o.S（Denial of
Service）攻击。

执行netstat命令结果如下：

Active Connections

  Proto  Local Address            Foreign Address        State
  TCP    127.0.0.1:1025           127.0.0.1:1033         ESTABLISHED
  TCP    127.0.0.1:1033           127.0.0.1:1025         ESTABLISHED
  TCP    xxx.xx.xxx.xxx:80        1.129.155.213:56048    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        8.71.96.232:18544      SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        17.95.29.168:33072     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        33.212.238.226:29024   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        33.250.131.21:46336    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        41.254.157.63:26688    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        44.6.143.72:14352      SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        44.233.0.83:2368       SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        46.172.194.36:60560    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        52.141.107.180:34048   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        58.92.189.37:59680     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        147.24.54.140:42160    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        150.41.8.196:50864     SYN_RECEIVED
  ........................
  ........................
  TCP    xxx.xx.xxx.xxx:80        157.176.98.17:49712    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        165.217.228.103:18416  SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        171.191.13.61:64656    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        174.45.224.245:30896   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        181.118.121.182:23984  SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        191.3.0.46:2864        SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        196.235.126.62:57024   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        208.104.144.7:50912    SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        209.232.143.50:57248   SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        214.14.49.76:50496     SYN_RECEIVED
  TCP    xxx.xx.xxx.xxx:80        223.71.101.172:62528   SYN_RECEIVED
  ........................
  ........................


攻击方式的分析:

通过对netstat命令结果的分析。可以知道这是利用TCP的脆弱性进行攻击的。简单说就是攻
击者伪造一个假的IP包，发送到目标攻击的机器，浪费目标机器上的TCP资源，从而是目标机
器无法为正常访问者提供服务的一种攻击。

现今很多Internt的服务都是建立在TCP连接上面的，包括Telnet ,WWW, Email。当一台机器
（我们称它为客户端）企图跟一个台提供服务的机器（我们称它为服务端）建立TCP连接时，
它们必须先按次序交换通讯好几次，这样TCP连接才能建立起来。

开始客户端会发送一个带SYN标记的包到服务端；
服务端收到这样带SYN标记的包后，会发送一个带SYN-ACK标记的包到客户端作为确认；
当客户端收到服务端带SYN-ACK标记的包后 ，会向服务端发送一个带ACK标记的包。
完成了这几个步骤（如下图），它们的TCP连接就建立起来了，可以进行数据通讯。

客户端 服务端
SYN → 
← SYN-ACK
ACK → 


攻击者就是利用TCP连接的建立需要这样的过程的特点，作为攻击的手段。

他们（攻击者）伪造一个IP包，其中里面包含一个SYN标记和假的源IP地址，发送到目标机器
（受攻击的机器）。

目标机器（受攻击的机器）收到攻击者发送过来的伪造的IP包，会尝试向IP包里面记录的源
IP地址发送一个带SYN-ACK标记的包到源IP地址的机器上。

由于攻击者发送过来的IP包里面包含的源IP地址为伪造的，所以目标机器（受攻击的机器）
根本无法成功发送带SYN-ACK标记的包到伪造的源IP地址的机器上。造成目标机器（受攻击的
机器）的等待，尝试再连接。

因为目标机器（受攻击的机器）的等待是需要占用系统一定的资源的。如果这样的连接到了
一定的数目，系统没有更多的资源来为新的连接作出响应，那么TCP连接就无法建立，换而言
之，就是无法提供正常的服务。

而这些等待的资源会在一定的时间(Time Out)后被释放。而Windows NT的默认设置第一次为
3秒的超时，尝试5次，每次尝试的超时时间为前一次的两倍。如下表：


花费时间（秒） 累计花费时间（秒）
第一次，失败 3 3
尝试第1次，失败 6 9
尝试第2次，失败 12 21
尝试第3次，失败 24 45
尝试第4次，失败 48 93
尝试第5次，失败 96 189


从上表，我们可以看到，如果是Windows NT默认的设置，那么一个这样攻击，将会把响应的
资源占用189秒，189秒后系统才会自动释放。如果这样的连接数目到了一定程度之后，系统
就无法提供正常的服务了。