TCP半开攻击（半连接攻击） --- syn攻击

（1）定义：

sys 攻击数据是DOS攻击的一种，利用TCP协议缺陷，发送大量的半连接请求，耗费CPU和内存资源，发生在TCP三次握手中。

A向B发起请求，B按照正常情况执行响应，A不进行第3次握手，这就是半连接攻击。

（2）环境：

R H 8 --- TCP请求方  ip：192.168.174.123
Redhat 8.0 --- 服务器 ip：192.168.174.122
kali --- 攻击者 ip：192.168.174.131

攻击方案：

（3）准备攻击：

<1> R H 8利用TCP的子协议telnet登录到Redhat 8.0这个Server上

<2> 此时服务器就会有一个与192.168.174.123的随机端口建立成功的TCP会话

（4）实施攻击：

netwox 76 -i "192.168.174.122" -p "23" 

此时在Redhat 8.0查看tcp会话，可发现被攻击了

（4）作用：

关闭服务器的抵抗洪泛机制，客户端将无法连接到服务器

（5）防御：开启洪范保护

vim /etc/sysctl.conf //编辑文件
net.ipv4.tcp_syncookies = 0 设置为0 放弃syn防御 1视为开启防御

---

附：防御

1. 使用防火墙：配置防火墙以过滤和阻止来自不信任 IP 地址的 RST 包，或限制发送 RST 包的频率和数量。

2. 网络流量监控：实时监控网络流量，识别异常的 RST 包和流量模式，及时发现和阻止恶意攻击。

3. 加密通信：使用加密协议（如TLS）来保护通信链路，确保数据在传输过程中受到保护，使攻击者无法轻易伪造或中断连接。

4. 网络设备配置优化：遵循最佳实践来优化网络设备的配置，例如，限制并发连接数量、减少超时时间、启用 SYN cookie 等。

5. 使用反向代理：使用反向代理服务器来隐藏真实服务器的 IP 地址和端口号，从而减少攻击者直接针对服务器进行 RST 攻击的风险。

6. IDS/IPS 系统：使用入侵检测系统 (IDS) 或入侵预防系统 (IPS)，可以检测和拦截恶意的 RST 包和其他攻击尝试。

7. 更新和补丁：及时更新和应用系统、应用程序和网络设备的安全补丁，以修复已知的漏洞和弱点。

---

TCP RST攻击

（1）定义：

RST攻击（Reset Attack）通过发送TCP（传输控制协议）的复位（RST）数据包来中断或重置现有的TCP连接。这种攻击利用了TCP协议中的漏洞，例如伪造源IP地址或序列号，以欺骗通信的一方认为连接已经结束，从而终止连接。RST攻击可以导致目标系统中断现有连接，造成服务不可用或数据丢失。

A和服务器B之间建立了TCP连接，此时C伪造了一个TCP包发给B，使B异常的断开了与A之间的TCP连接，就是RST攻击了。

（2）环境：

R H 8 --- TCP请求方  ip：192.168.174.123
Redhat 8.0 --- 服务器 ip：192.168.174.122
kali --- 攻击者 ip：192.168.174.131

（3）设计：

（4）攻击：

客户端主机登录到服务端上

kali 实施攻击，伪造成服务端 192.168.174.122 向客户端192.168.174.123 发送RST报文

此时客户端与服务端断开连接，ssh的TCP连接也断开了，并且再次连接还是连接不上

攻击者停止攻击，客户端的ssh服务才能恢复正常

（5）防御：

1. 使用防火墙：配置防火墙以过滤和阻止来自不信任 IP 地址的 RST 包，或限制发送 RST 包的频率和数量。

2. 网络流量监控：实时监控网络流量，识别异常的 RST 包和流量模式，及时发现和阻止恶意攻击。

3. 加密通信：使用加密协议（如TLS）来保护通信链路，确保数据在传输过程中受到保护，使攻击者无法轻易伪造或中断连接。

4. 网络设备配置优化：遵循最佳实践来优化网络设备的配置，例如，限制并发连接数量、减少超时时间、启用 SYN cookie 等。

5. 使用反向代理：使用反向代理服务器来隐藏真实服务器的 IP 地址和端口号，从而减少攻击者直接针对服务器进行 RST 攻击的风险。

6. IDS/IPS 系统：使用入侵检测系统 (IDS) 或入侵预防系统 (IPS)，可以检测和拦截恶意的 RST 包和其他攻击尝试。

7. 更新和补丁：及时更新和应用系统、应用程序和网络设备的安全补丁，以修复已知的漏洞和弱点。