LINUX.ORG.RU
ФорумJob

Написать тест-утилиту на основе tcpdump лога атаки

 


1

3

Клиент-серверное приложение подвергалось неизвестному типу сетевой атаки по протоколу tcp.
Исходя из логов: атакующий отправляет ack запрос серверу, но делает это с множества чужих серверов (Бразилия и прочие страны).
Предположение: атакующий отправляет syn запрос dns серверу с подменненым содержимым (в виде обратного IP адреса и порта жертвы)

Задача: проанализировать предоставленные логи, убедиться/опровергнуть теорию выше, написать тест утилиту этой атаки.

Логи: https://dropmefiles.com/LAijs
Телеграмм: ionotrop

DDoS DNS Amplifiction, работает по UDP, а у вас множество ACK запросов. Поэтому в данном случае, я думаю это другой тип атаки.

engine ()
Ответ на: комментарий от engine

А вы правы. Но тогда при чем тут dns, о котором пишет ТС?

level1 ()
Ответ на: комментарий от kernist

Syn-flood это когда бьют syn'ами, а тут жертва получает ack'и.

Накладные расходы при получении syn заключаются в выделении памяти под структуру, отсылки назад ack/syn, ожидания ack. А при получении левого ack, модуль TCP просто сразу его откидывает, расходы минимальны.

level1 ()

Не дешевле будет поставить suricata/snort ?

bdfy ★★★★★ ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=0