Тема: [Anti-ddos] Задаем вопросы...
Показать сообщение отдельно

  #27  
Старый 10.07.2009, 12:13
neval
Moderator - Level 7
Регистрация: 13.12.2006
Сообщений: 531
С нами: 10215686

Репутация: 383


По умолчанию
1.1.1.1 - мой IP
2.2.2.2 - IP сервера

Дамп установки соединения:

Посылка серверу SYN-пакета. "Привет сервер. Я клиент. Хочу подключиться"
Код:
21:46:38.648202 IP 1.1.1..59503 > 2.2.2.2.80: S 3701186222:3701186222(0) win 5808 <mss 1412,sackOK,timestamp 39307371 0,nop,wscale 7>
E..<V.@.5.3.[.=.[....o.P............GT.........
.W.k........
Сервер создает сокет, затрачивая память и пересылает клиенту SYN-ACK. "Привет клиент. Сокет создан. Подключайся"
Код:
21:46:38.648219 IP 2.2.2.2.80 > 1.1.1.1.59503: S 1928113984:1928113984(0) ack 3701186223 win 65535 <mss 1412,nop,wscale 3,sackOK,timestamp 1726391506 39307371>
E..<{.@.@...[...[.=..P.or..@.......................
f....W.k
Отправка клиентом ACK-флага...
Код:
21:46:38.721210 IP 1.1.1.1.59503 > 2.2.2.2.80: . ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E..4V.@.5.3.[.=.[....o.P....r..A....^2.....
.W..f...
И вот только теперь начинается HTTP (7 уровень OSI).... Все ваши скрипты, htaccess и прочее..

Передача заголовков браузером

Код:
21:46:38.722817 IP 1.1.1.1.59503 > 2.2.2.2.80: P 1:381(380) ack 1 win 46 <nop,nop,timestamp 39307444 1726391506>
E...V.@.5.2"[.=.[....o.P....r..A...........
.W..f...GET / HTTP/1.1
Host: 2.2.2.22
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.10) Gecko/2009060500 Gentoo Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Ответ веб-сервера..
Код:
21:46:38.723439 IP 2.2.2.2.80 > 1.1.1.1.59503: P 1:367(366) ack 381 win 8225 <nop,nop,timestamp 1726391581 39307444>
E...{.@.@...[...[.=..P.or..A...+.. !.......
f....W..HTTP/1.1 200 OK
Date: Thu, 09 Jul 2009 21:46:38 GMT
Server: Apache/2
Last-Modified: Tue, 30 Jun 2009 18:59:08 GMT
ETag: "7ff396-c-46d9566bc1700"-gzip
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 28
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Content-Type: text/html

<остальное вырезано>


Т.е. нагрузка на сервер идет еще до получения вебсервером запроса на получение страницы...

Ситуация с SYN-флудом заключена в следующем:
Код:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
Добавить сюда SYN-спуфинг (клиент указывает левый source-адрес)
Все пакеты отсылает одна машина:
Код:
- 1.1.1.1 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 
- 3.3.3.3 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся" 
- 6.6.6.6 "Привет сервер. Я клиент. Хочу подключиться"
- 2.2.2.2 "Привет клиент. Сокет создан. Подключайся"
По поводу того, что вы предлагаете при http-флуде что бы веб-сервер еще запускал php, который проводил некое вычисление,
и затем, на основание этих вычислений отдавать что то клиенту....
Еще туда mysql и логирование. Всего по максимуму

Т.е. в принципе правильно, зачем мучаться - добьем...
 
Ответить с цитированием