ddos deflate добавляет 0.0.6.207 в ipfilter

Возможно ли, что такой IP-адрес существует? я не думаю, откуда это происходит?

2 ответа

Вы, вероятно, видите это в результате потока SYN, о котором вы написали в другом вопросе.

Ответ заключается в том, как на самом деле работают потоки SYN. Основной принцип, стоящий за ними, заключается в том, что пакеты, прибывающие к цели, должны исходить из адреса источника, который недоступен, для максимальной эффективности.

Зачем? Потому что пакеты SYN должны открывать сеанс (первая часть рукопожатия TCP) на целевом компьютере, который остается открытым как можно дольше, занимая ресурсы на цели.

Если исходный IP-адрес был доступен, целевой компьютер отправил бы ответ и немедленно получил бы сброс соединения. Сессия TCP будет закрыта немедленно или, по крайней мере, очень быстро. Ресурсы будут освобождены. Не большая атака.

Вкл, и я должен указать, что не имеет значения, каков "настоящий" адрес источника атакующего. Адрес, который вы видите выше, просто вставляется в заголовки пакетов. Это бессмысленно, но это делает работу.

Поэтому IP-адреса источника SYN обязательно должны быть недоступны.

Нет, такой адрес не существует как маршрутизируемый в Интернете, 0.* зарезервирован для хостов локальной сети в соответствии с RFC1700.

Другие вопросы по тегам