2016年4月 每日免费代理IP
欢迎下载站大爷代理IP工具 (多线程批量验证，自动智能更换代理，自动刷网页)：
61.144.68.100:9797#广东省广州市白云区 机场路1330号二楼清水居网络咖啡厅&&119.29.208.90:80#广东省广州市海珠区 腾讯云服务器(广州市海珠区新港中路397号TIT创意园)&&110.73.34.100:8123#广西防城港市 联通&&113.66.62.15:9999#广东省广州市 电信&&120.52.73.140:8090#中国 联通云数据中心&&183.51.153.166:3128#广东省惠州市 电信&&123.57.155.58:80#北京市 阿里云BGP数据中心&&221.2.150.135:80#山东省 ...
94.101.234.103:8080#拉脱维亚&&79.120.72.222:3128#俄罗斯&&54.200.243.94:3128#美国 华盛顿州西雅图市亚马逊公司数据中心&&64.62.233.67:80#美国 加利福尼亚州弗里蒙特市Hurricane Electric公司&&41.242.92.252:8080#南非&&37.235.52.15:8080#欧洲&&58.182.146.65:3128#新加坡 星和视界(StarHub)宽带&&46.246.62.62:3128#瑞典&&203.190.242.98:80#印度 ...
180.97.213.6:8088#江苏省苏州市 电信&&58.67.159.50:80#广东省广州市 新一代IDC机房&&58.20.132.25:8088#湖南省岳阳市云溪区 ?&&122.226.62.90:3128#浙江省金华市 电信&&124.131.221.142:9999#山东省菏泽市曹县 联通&&113.207.33.3:8088#重庆市 联通&&60.6.197.4:8088#河北省邢台市 联通&&112.90.147.136:8088#广东省珠海市 联通&&61.160.248.168:80#江苏省常州市 电信I ...
201.22.148.48:3128#巴西 圣保罗&&187.17.21.214:3128#巴西&&103.15.62.69:8080#印度&&185.53.35.15:8080#欧洲&&125.166.231.65:8080#印度尼西亚&&92.222.237.18:8898#德国&&201.50.127.67:8080#巴西 GVT通信公司&&95.130.9.185:3128#法国&&190.203.128.248:8080#委内瑞拉&&117.58.227.167:80#日本&&5.16 ...
125.39.78.136:8088#天津市 百度网讯云加速联通CDN节点&&58.221.75.146:8088#江苏省南通市 电信&&122.224.88.252:80#浙江省杭州市 电信&&183.95.152.117:8088#湖北省黄石市 联通&&117.27.152.236:80#福建省福州市 电信&&116.255.150.243:80#河南省郑州市 景安网络BGP数据中心&&183.60.254.10:8080#广东省深圳市 电信IDC机房&&120.52.73.101:80#中国 联通云数据中心&&223.16.22 ...
149.91.81.8:3128#美国&&31.208.7.22:8888#瑞典&&212.170.94.152:3128#西班牙&&202.169.224.53:3128#印度尼西亚&&201.199.134.195:3128#哥斯达黎加&&218.232.109.137:8090#韩国&&36.77.2.136:8080#印度尼西亚&&47.88.1.21:3128#加拿大&&200.115.28.65:8080#阿根廷&&201.243.55.101:8080#委内瑞拉&&190.128. ...
61.54.12.38:8080#河南省安阳市 迅雷离线服务器&&59.151.9.78:80#北京市 世纪互联数据中心&&116.226.13.33:37392#上海市 电信&&122.195.68.250:8000#江苏省常州市 联通&&27.46.21.100:8888#广东省深圳市 联通&&125.39.103.137:80#天津市 联通&&118.26.118.8:9999#山东省菏泽市 菏泽互动传媒有限责任公司联通节点&&36.234.131.107:3128#台湾省台北市 
&&110.73.3.6:8123#广西防 ...
200.187.149.130:3128#巴西 圣保罗&&110.78.150.245:8080#泰国&&189.48.3.253:8080#巴西&&109.197.254.237:8080#俄罗斯&&190.38.85.15:8080#委内瑞拉&&186.93.137.51:8080#委内瑞拉&&185.5.251.81:3128#挪威&&1.1.164.7:8080#泰国 沙功那空&&92.222.237.89:8898#德国&&154.64.209.238:8081#美国&&37.187. ...
114.112.84.182:8080#北京市 北京首都在线科技股份有限公司(北京联通+北京电信互联网数据中心)BGP节点&&203.192.12.146:80#北京市 新华社&&183.238.133.43:80#广东省东莞市 移动&&14.120.64.239:9797#广东省东莞市 电信&&115.29.34.2:3128#山东省青岛市 阿里云BGP数据中心&&183.46.90.204:9999#广东省汕头市 电信&&163.125.74.212:9999#广东省深圳市 联通&&175.6.10.136:8088#湖南省长沙市 电信&& ...
185.5.251.81:3128#挪威&&187.18.10.106:8080#巴西&&200.8.191.86:8080#委内瑞拉&&194.152.244.14:80#克罗地亚&&74.142.112.90:8080#美国 肯塔基州Louisville市Insight通讯公司&&186.91.235.145:8080#委内瑞拉&&46.101.157.173:3128#俄罗斯&&190.77.232.118:8080#委内瑞拉&&186.94.114.174:8080#委内瑞拉&&190.39.165.126 ...
124.160.124.134:80#浙江省温州市 联通&&211.72.65.235:8088#台湾省 中华电信&&123.103.13.232:80#北京市 网宿科技&&122.72.18.160:80#北京市 铁通数据中心&&182.247.232.9:8088#云南省昆明市 电信&&117.59.217.227:82#重庆市 广电网&&221.2.150.135:80#山东省威海市 联通&&121.22.252.62:80#河北省秦皇岛市 联通&&119.140.230.143:9999#广东省惠州市惠阳区 电信&& ...
201.183.238.20:8080#厄瓜多尔&&88.146.227.247:8080#捷克&&190.97.231.73:8080#委内瑞拉&&201.208.192.25:8080#委内瑞拉&&80.240.101.6:8000#俄罗斯 莫斯科&&84.11.164.74:8080#德国&&190.205.187.242:8080#委内瑞拉&&79.105.160.204:8080#俄罗斯&&190.201.6.78:8080#委内瑞拉&&194.117.30.70:80#葡萄牙&&19 ...
60.190.252.29:9090#浙江省杭州市 电信&&120.194.18.90:81#河南省郑州市 移动&&125.46.57.28:80#河南省郑州市 联通&&36.42.32.122:8080#陕西省宝鸡市 <&&121.41.55.31:80#浙江省杭州市 阿里云BGP数据中心&&210.76.58.20:8088#黑龙江省哈尔滨市 联通&&211.151.158.159:80#北京市 世纪互联IDC机房&&211.151.85.163:80#北京市 世纪互联IDC机房&&116.6.73.250:8080#广东省广州 ...
191.103.62.60:8080#拉美地区&&190.199.44.254:8080#委内瑞拉&&107.163.208.127:808#北美地区&&203.156.126.55:3129#泰国 DTAC电信&&36.84.9.249:3128#印度尼西亚&&178.33.47.31:3128#法国&&83.174.234.126:8080#俄罗斯&&180.250.74.210:8080#印度尼西亚&&107.163.117.208:808#北美地区&&190.203.175.125:8080#委内瑞拉&nb ...
60.191.157.90:3128#浙江省台州市 电信&&112.95.205.60:9999#广东省深圳市 联通&&101.96.11.9:80#福建省 电信&&116.24.157.122:9797#广东省深圳市宝安区 电信&&211.87.234.148:8088#山东省济南市 山东大学齐鲁软件学院&&36.226.127.227:3128#台湾省台北市 
&&218.84.126.196:80#新疆昌吉州昌吉市 电信&&183.237.19.25:9797#广东省 移动&&36.42.33.12:8080#陕西省宝鸡市
共60篇，每页15篇
友情链接 (合作QQ)：&&&&&&
&CopyRight
站大爷实时更新代理IP平台
&&&&客服QQ：
站大爷代理IP交流群：&&&&&&&&&&
爬虫开发者交流群：
警告：本站资源仅限用来计算机技术学习参考及大数据爬虫应用等合法行为，用户所有操作行为均有日志记录存档并保留2个月，用户若擅自利用本站资源从事任何违反本国（地区）法律法规的活动，由此引起的一切后果与本站无关。如何精准地找到 SYN 攻击者的真实IP?
如何精准地找到 SYN 攻击者的真实IP?
【云舒的回答(57票)】:
又被刺总邀请了，必须得努力回答一个啊。
挖掘SYN攻击者的真实IP地址，我的主要思路是统计每个IP发送的SYN报文的个数，然后反向分析TTL值。发送报文数量越多的，越有可能是真实的IP地址。将TOP 1000的源IP摘出来，在被攻击的目标上去ping他们，看TTL值和发过来的SYN报文TTL指相差有多少。需要注意的是，这里对比的是TTL减少的跳数，而不是绝对的TTL值，因此需要你猜测原始TTL是多少。这样过滤出一些IP地址之后，再做一些扫描探测，看看有没有能被攻击者入侵的漏洞。这种方式有一些效果，但是如果随机了原始TTL就不靠谱了，精细的SYN攻击在不求助政府、cncert之类的力量比较难追踪。
我曾经遇到一次攻击，这种方式最终找出了部分真实IP地址，可惜某些部门不给力，就不多说了。
原理我也大致描述一下。IP地址可以伪造，但是路由路径是不能伪造的。本身IP是1.2.3.4，到攻击目标经过4跳，但是伪装成的那个IP 2.3.4.5可能需要经过8跳。这样攻击报文TTL降低了4，而反查的TTL则会降低8。如果没有伪造源IP或者伪造的是同一个子网的IP，TTL的跳数则会非常匹配。
关于攻击者为什么有时候不伪造源IP，有2个原因。1个原因是某些ISP在路由器上做了限制，干掉了伪造报文。第2个原因？呵呵，佛曰不可说不可说。
【郑心航的回答(3票)】:
任何DDOS真正攻击者的IP是基本是不可能发现的。
发起攻击的人手头都是操纵着一个庞大的僵尸。如何获取僵尸网络的肉机，这在黑客圈已经是一个成熟的产业链。
某网络专家所谓的方法，其实至多只能追溯到某个受到遥控的肉机上。想要进一步找到遥控肉机的远程IP地址，恐怕得联系其所在的ISP才行。且不论你没有国安的权力和技术力量，就算有，黑客的僵尸网络可不是吃素的。整个命令控制链都是经过多重路径和加密，往往是在全球的多个ISP网络绕一圈。
所以如果你动用不了像NSA或FBI这样的机构帮你，还是做做社会工程，考虑一下从商业利益的角度，谁能从攻击你的系统中获益。发动大规模DDOS攻击的，在这年头肯定还是要有投入，发动者肯定期待回报的。
【张浩浩的回答(0票)】:
1一个设想: 分析syn报文的特征，大致能看出来是什么僵尸工具。加入僵尸网络，分析出控制机，在再从控制机得到被控制的机器。这时可能是二级控制机。
传统的实现是全网分析netflow。
【李海涛的回答(0票)】:
1.如果真的是普通的DOS攻击,很容易抓包,或者netflow就能看到攻击者源IP.
2.如果是DDOS,会产生大量的流量,以至于拥塞整个Internet出口.这些攻击源如果是真是的ip地址.就可以通过上面的方式,或F5,或找你的ISP供应商进行查询和拦截.
3.对于伪造的源地址的DDOS攻击.是非常简单的.随机伪造源地址,去访问你的服务器,这样你很难抓到到底哪个才是攻击你的人.很可能无功而返.
发表评论：
馆藏&56735
TA的推荐TA的最新馆藏讨论一下如何防范SYN-FLOOD攻击的问题
讨论一下如何防范SYN-FLOOD攻击的问题
有人说echo 1 &; /proc/sys/net/ipv4/tcp_syncookies可以组织SYN-FLOOD攻击
还有人说，IPTABLES里设置-m limit n/s --limit-burst n可以限制并发流来阻止攻击
刚才在VMWARE里做了试验，用软件攻击自己的VMWARE里的APACHE
结果发现/proc/sys/net/ipv4/tcp_syncookies设置后无济于事
IPTABLES里做了限制，虽然能限制并发流，不至于让机器的网络瘫痪，但HTTP还是无法使用了，还是达到了“拒绝服务”的效果
很无奈……
我想了另一个解决SYN攻击的方法，但是需要SHELL编程
大家有没有什么高见？
昵称: platinum &时间:
昵称: platinum &时间:
昵称: repol &时间:
昵称: 双眼皮的猪 &时间:
原帖由 &双眼皮的猪& 发表：
现在没有能很好抵御syn-flood的方式吧.
对层的概念仍然不很明朗,所以...
不管如何都会塞住带宽...以及路由的低效....
不熟悉,请指教........DDOS是不能防御的，SYN-FLOOD属于DOS，可以防御的
昵称: platinum &时间:
昵称: 第二场雪 &时间:
昵称: platinum &时间:
原帖由 &platinum& 发表：
DDOS是不能防御的，SYN-FLOOD属于DOS，可以防御的谢谢指点
上次去北京买了本TCP/IP详解卷一,协议,结果在邯郸搞丢了.
这不,签到杭州了,就不去北京陪你玩啦,嘿嘿~
昵称: 双眼皮的猪 &时间:
原帖由 &platinum& 发表：
“经过三次握手再传给服务器对付syn flood”
再阐述一下？
：）呵呵,其实我也是不懂的,对协议了解不深刻.
一般的syn flood 是大量的客户端去连接服务器.建立一次握手后就不再继续,于是服务器等待超时.
如果大量的sys连接的话就会造成服务器压力或者连接数满而达到目的.
可以用防火墙来先与客户端建立连接,达到三次握手的才传给服务器,减轻服务器压力.但必须好的防火墙啊,他本身就会成为弱点.
还有可以多服务器分时,由防火墙分别按算法发配请求.
昵称: 第二场雪 &时间:
昵称: haohaoo &时间:
CODE:安装防DDOS攻击软件
# tar -zxvf mod_dosevasive.1.9.tar.gz
# cd mod_dosevasive
# /usr/local/apache/bin/apxs -iac mod_dosevasive20.c
# vim /usr/local/apache/conf/httpd.conf
&IfModule mod_dosevasive.c&;
DOSHashTableSize& & & & & & & & 3097
DOSPageCount& & & & & & & & & & & & 3
DOSSiteCount& & & & & & & & & & & & 50
DOSPageInterval& & & & & & & & & & & & 1
DOSSiteInterval& & & & & & & & & & & & 1
DOSBlockingPeriod& & & & & & & & 30
&/IfModule&;
昵称: llzqq &时间:
昵称: haohaoo &时间:
昵称: llzqq &时间:
昵称: platinum &时间:
昵称: shiqiaoliang &时间:
昵称: xinxin_ee &时间:
昵称: platinum &时间:
原帖由 &platinum& 发表：
是这样的，当我们发现被DOS攻击以后怎么办呢？
如何确定是否被DOS攻击呢？
netstat -an，查看ESTABLISHED数，然后禁掉该IP
SHELL思想也类似，写一个SHELL，让CROND每分钟运行一次
SHELL去检查ESTABLISHED数量..........ESTABLISHED数多少的时候就砍掉呢？
昵称: haohaoo &时间:
昵称: platinum &时间:
原帖由 &platinum& 发表：
我想，这是一个阀值问题，可以自己根据服务器的性能配置
同一个IP地址，超过20个ESTABLISHED，就应该可以封了吧，谁会同时连那么多！假如用专线然后用的代理服务器上网呢？对外都是同一个ip吧……但是同事们上同一个网站的话，就是同一个ip。
昵称: 好好先生 &时间:
昵称: platinum &时间:
昵称: 弱智 &时间:
昵称: platinum &时间:
原帖由 &弱智& 发表：
做防火墙的机子收到客户端的SYN包时，直接转发给服务器；
然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，不去管它；
另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手；这样，可以使服务器完成连接状态。
当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。 参见OpenBSD中pf的synproxy动作，例如：
pass in on $ext_if proto tcp from any to $web_server port www flags S/SA synproxy state
昵称: windoze &时间:
原帖由 &弱智& 发表：
purge觉得这是一个方法，思路的问题。以前看到过这样的讨论。
比如，可以这样：
做防火墙的机子收到客户端的SYN包时，直接转发给服务器；
然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户..........也不稳妥吧。
SYN半连接DOS，不是看消耗的资源多不多，而是到一定半连接数量时，服务器就不会接受SYN请求，这样来做到DOS，这个时候服务器资源占用的并不多。但你提出的完成握手，这样的话，系统很快可能达到进程/线程上限，整个系统的资源将有可能耗尽，比上一种情况更危险。
我是这么理解的 ：）
昵称: bingocn &时间:
昵称: q1208c &时间:
原帖由 &弱智& 发表：
purge觉得这是一个方法，思路的问题。以前看到过这样的讨论。
比如，可以这样：
做防火墙的机子收到客户端的SYN包时，直接转发给服务器；
然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户..........问题是，怎么实现。如果把所有的SYN包现交给firewall,firewall又如何判别哪个包是合法的，哪些是不合法的。如果firewall无法判别，那垮掉的虽然不是apache server,但一定会使firewall，造成的损失更严重不是吗。
昵称: andyliu &时间:
昵称: JohnBull &时间:
昵称: xichen &时间:
昵称: platinum &时间:
原帖由 &xichen& 发表：
对于syn攻击，有几种方法可以防御。
1、最有效的，增加带宽，做集群。
2、使用基于状态的防火墙，也就是以上各位说的三次握手。
3、从交换机上监听网络上的syn数据，当发送了syn包到服务器后，该地址一定时间内没..........别想了.
SCO公司大不大?APPLE公司大不大?MICROSOFT大不大?
那样的带宽和集群一样被DOS.所以增加带宽太被动了.
基于状态的防火墙也属骗人.参见我上面的引文.
交换机假冒握手更是掩耳盗铃的馊主意.殊不知一个进程可以同时打开的文件描述符有上限乎?你知道FreeBSD系统下的一个进程最多可以打开多少文件吗?那样不过是把第4层的DOS变成了第7层的DOS而已.
这一切的根本原因在于当初设计TCP/IP的时候,没有想到现在的网络环境这么复杂,没有预先充分地预防.
等SCTP取代了TCP后,这个问题就好多了.
昵称: JohnBull &时间:
昵称: platinum &时间:
原帖由 &xichen& 发表：
对于syn攻击，有几种方法可以防御。
1、最有效的，增加带宽，做集群。
2、使用基于状态的防火墙，也就是以上各位说的三次握手。
3、从交换机上监听网络上的syn数据，当发送了syn包到服务器后，该地址一定时间内没..........以apache服务为例：
比较赞同这种说法的：
1.用硬件防火墙，（觉得这是最主要的手段）
2.用硬件均衡负载设备，如 Alton,load director等；
3.apache集群；
4.限制apache服务的参数，最高CPULimit，和MemLimit，限制最长URL，限制最大bodyrequest。apache里面也做了不少能够防止DoS的工作的，大家见仁见智根据自己的机器配置进行配置。
从安全和性能之间取一个平衡。
昵称: zjnet1 &时间:
原帖由 &platinum& 发表：
我那天用的那个攻击软件，是用真IP进行攻击的，netstat -an看到的是我的私网IP地址
另外“程序就冒充改ip和端口发送端开的IP包”这句不是很明白……错字，是断开。现在好点的交换机都有监听端口，能听到交换机里面的所有传输数据。在这里保留这个交换机所有的syn包的状态，一般来说，三次握手的延时不会超过5秒，但是对于旧内核的linux，这个超时时间最长能达到大约5天。
那么可以在超过5秒还没有接收到后续的两个包的时候，可以发送RST（记不清楚是否是这个包了）包，来让被dos攻击的服务器认为客户端已经断开了连接，从而释放了这个连接。
当然ddos攻击是任何系统任何设备都无法抵挡的，我们能做的只是让系统尽量的抵御攻击。
还有，现在高手门已经通过将一个syn包分解为多个IP包的方式来穿越防火墙，这个包不会被普通防火墙所识别，但是却能在系统内核重组成一个完成的syn包来达到攻击目的。
关于源地址和端口号发生变化，这是一般dos工具都具备的，你可以参考网卡的RAW（混杂）工作模式。欣慰的是一般ISP的路由器都不允许不属于这个网段的IP包的通过。给我们查找攻击者带来方便，并从一定程度上阻碍了dos攻击
昵称: xichen &时间:
原帖由 &xichen& 发表：
那么可以在超过5秒还没有接收到后续的两个包的时候，可以发送RST（记不清楚是否是这个包了）包，来让被dos攻击的服务器认为客户端已经断开了连接，从而释放了这个连接。RST没用的,应该FIN.
但这么做与SYN COOKIE或者六次握手从效果上有什么本质区别呢?况且你还得要求交换机有SPAN口以及增加新设备.原帖由 &xichen& 发表：
还有，现在高手门已经通过将一个syn包分解为多个IP包的方式来穿越防火墙，这个包不会被普通防火墙所识别，但是却能在系统内核重组成一个完成的syn包来达到攻击目的。这个方法也早就过时了,现在Linux防火墙能搞定这种攻击,不知FreeBSD\行否.原帖由 &xichen& 发表：
关于源地址和端口号发生变化，这是一般dos工具都具备的，你可以参考网卡的RAW（混杂）工作模式。欣慰的是一般ISP的路由器都不允许不属于这个网段的IP包的通过。给我们查找攻击者带来方便，并从一定程度上阻碍了dos攻击网卡的混杂模式是作用于接收报文的时候,与发送无关. 而RAW是TCP/IP套接字的一种工作模式,与网卡无关.路由器也不能得知一个数据包里面的传输层会话在端系统上究竟是什么方式打开的.
我没有别的意思,只是想说TCP半连接洪水是没有办法的,不要再误导初学者了,凡声称在不修改TCP的情况下解决了SYN FLOOD问题的软/硬件厂家都是骗子,跟大街上的一针根治牛皮癣广告一样.很多人片面强调DoS与DDoS的差异,其实二者技术本质没有差异!你提到的那些方法,都可以有针对性地进行反制.
昵称: JohnBull &时间:
昵称: platinum &时间:
昵称: q1208c &时间:
昵称: platinum &时间:
昵称: fushuyong &时间:
昵称: xichen &时间:
昵称: 弱智 &时间:
昵称: daixi &时间:
昵称: 好好先生 &时间:
昵称: fushuyong &时间:
昵称: platinum &时间:
昵称: xichen &时间:
昵称: chjcpu1 &时间:
昵称: xichen &时间:
昵称: iceblood &时间:
昵称: chjcpu1 &时间:
昵称: platinum &时间:
原帖由 &platinum& 发表：
我就晕～！
如此说来，sina、163、sohu等门户网站都可以在瞬间就完蛋？9494！帮你顶吧！
昵称: jackylau &时间:
昵称: 找工作ing &时间:
昵称: 双眼皮的猪 &时间:
原帖由 &platinum& 发表：
我就晕～！
如此说来，sina、163、sohu等门户网站都可以在瞬间就完蛋？这要看攻击者有多大的能力调动足够的带宽去攻击
以三大门户的现有带宽以及他们和上级ISP的关系
一次持续的攻击有可能被抓到
短暂的攻击也没什么意义
因此普通攻击者也不会贸然犯险
昵称: hutuworm &时间:
昵称: simonzhan &时间:
昵称: 虚度光阴 &时间:
昵称: 虚度光阴 &时间:
昵称: 7758 &时间:
昵称: llzqq &时间:
原帖由 llzqq 于
19:42 发表
继续讨论，今天在也下载了DOS的软件，模拟了一下，攻击一开始PC上的LINUX马上就不响应了，攻击终止后服务器就恢复正常（系统和APACHE并没有死掉） 是否开启了 syncookie 功能？
昵称: platinum &时间:
昵称: zzpy20 &时间:
昵称: 独孤九贱 &时间:
原帖由 platinum 于
20:34 发表
是否开启了 syncookie 功能？ 开了
昵称: llzqq &时间:
昵称: platinum &时间:
昵称: llzqq &时间:
昵称: platinum &时间:
昵称: llzqq &时间:
昵称: platinum &时间:
昵称: 河里的鱼 &时间:
昵称: 河里的鱼 &时间:
昵称: 独孤九贱 &时间:
昵称: platinum &时间:
原帖由 platinum 于
13:41 发表
第二步：b代替c回一个:ack/syn(这个时候，虽然是攻击包，可是服务器没有收到，所以并没有被攻击)
这样的话，a 还是收不到 b 的 syn/ack，b 自己会不会也 down 掉？ 应该是，“这样的话，B代替C回给A一个ack/syn，如果a没有第三次ack，B收不到，B自己会不会down掉吧？”
我最先想写这样程序，也是遇到这样的问题，也就是说，“B如何来维护一个连接状态”，就去问偶老大（因为他做出来了一个，原理也是他告诉偶的，而且在许许多多的实际环境中测试效果非常好），可惜他告诉我“还是先去看看linux 下syn cookie的实现吧”……于是我这两天正在啃当中，希望元旦节之前能搞定它。
昵称: 独孤九贱 &时间:
昵称: platinum &时间:
原帖由 platinum 于
14:08 发表
恩，我就是想问这个 ^_^
syncookie 的简单介绍我看过，不过还没看过代码
不知道上面这个思路和 syncookie 有什么根源上的区别没有？syncookie 其实也是这个原理（至少是类似） 现在对syncookie了解还比较少，也只看过些简介，不过和这个原理还是有点区别的。而且syncookie防御syn flooding效果不太好。
我说的这种原理，市面上已经有很多成型的产品的，不过效果有好有坏，不知道性能是否就是取决于我的那个疑问，可恨没有代码呀……
ps:现在的CC攻击，是要完成三次握手的，这种方法是防御不了的。可以用同IP并发限制，只是这种方法，某些游戏网站，同一网吧或单位出来的连接太多，也是不太现实，于是只有拆应用层包，分析特征码了。哎，上帝要是赐给我一块超性能的板子就好了……
昵称: 独孤九贱 &时间:
昵称: platinum &时间:
昵称: 独孤九贱 &时间:
昵称: platinum &时间:
昵称: llzqq &时间:
原帖由 llzqq 于
07:32 发表
我在100M局域网试验了一下，发现效果很不错，apache没有受到直接攻击，pf把syn 包截住了。意思是服务器没有死机，没有出现高负载？
那服务还仍然能继续向别人提供吗？别人的 syn 还进的来吗？
昵称: platinum &时间:
原帖由 llzqq 于
07:32 发表
昨天研究了一下（为此还装了一台openbsd-3.8）pf防火墙是怎样对付syn flooding的，实现语句如下：
pass in proto tcp from any to port 80 flags S/SA synproxy state
我在100M局域网试验了一下，发现效 ... 用FREEBSD6.0&&PF虽然保护了服务器，但别的请求也进不来，而且速度非常慢，不知是不是兼容性的原因。
昵称: No.9 &时间:
昵称: colddawn &时间:
昵称: depthblue_xsc &时间:
昵称: 顽主 &时间:
昵称: ningyuzm &时间:
昵称: ningyuzm &时间:
昵称: ningyuzm &时间:
昵称: skipjack &时间:
原帖由 platinum 于
15:52 发表
这个问题我也想到了
但是，一个单位的同事们会同时有20个人以上来访问吗？
何况HTTP协议不是一直ESTABLISHED的，读完网页就CLOSE
如果同一个IP有20个以上的ESTABLISHED，那肯定不正常
对吧：） 好像不成立 一个大网络若干个节点 把主页都设置为google或公司自己的竹叶 N多人同时开启IE 就把google给屏啦
昵称: bleach &时间:
昵称: 夜鹰007 &时间:
原帖由 JohnBull 于
13:10 发表
RST没用的,应该FIN.
但这么做与SYN COOKIE或者六次握手从效果上有什么本质区别呢?况且你还得要求交换机有SPAN口以及增加新设备.
这个方法也早就过时了,现在Linux防火墙能搞定这种攻击,不知FreeBSD\行否.
... 我赞同，我也认为DOS和DDOS本质是没什么区别的，
只是规模和范围的问题
昵称: 夜鹰007 &时间:
昵称: gyce &时间:
昵称: bug_4ever &时间:
昵称: window4 &时间:
昵称: hellboy_zhang &时间:
昵称: broceliu &时间:
昵称: folboy &时间:
昵称: wendaozhe &时间:代理IP知识问答
用户如何判断代理服务器的代理方式？高度匿名代理、普通匿名代理、透明代理
提问时间： 21:06:28 &&&楼主：未知网友&&&阅读量：4852
参考： 代理服务器根据匿名程度区分[编辑]高度匿名代理高度匿名代理会将我们的数据包原封不动的转发，在服务端看来就好像真的是一个普通客户端在访问，而记录的IP是代理服务器的IP。普通匿名代理普通匿名代理会在数据包上做一些改动，服务端上有可能发现这是个代理服务器，也有一定几率追查到你的真实IP。代理服务器通常会加入的HTTP头有HTTP_VIA和HTTP_X_FORWARDED_FOR 。透明代理透明代理不但改动了我们的数据包，还会告诉服务器你的真实IP。这种代理除了能用缓存技术帮你提高浏览速度，能用内容过滤提高你的安全性之外，并无其他显著作用。（最常见的例子是：内网中的硬件防火墙）
1楼（站大爷用户）查到了。自问自答一下。PROXY checker results 。Issues - goagent - a gae proxy forked from gappproxy/wallproxy里网友推荐使用这个网站来查询代理方式。查询的信息挺全的。
友情链接 (合作QQ)：&&&&&&
&CopyRight
站大爷实时更新代理IP平台
&&&&客服QQ：
站大爷代理IP交流群：&&&&&&&&&&
爬虫开发者交流群：
警告：本站资源仅限用来计算机技术学习参考及大数据爬虫应用等合法行为，用户所有操作行为均有日志记录存档并保留2个月，用户若擅自利用本站资源从事任何违反本国（地区）法律法规的活动，由此引起的一切后果与本站无关。