Написать тест-утилиту на основе tcpdump лога атаки

1

3

Клиент-серверное приложение подвергалось неизвестному типу сетевой атаки по протоколу tcp.
Исходя из логов: атакующий отправляет ack запрос серверу, но делает это с множества чужих серверов (Бразилия и прочие страны).
Предположение: атакующий отправляет syn запрос dns серверу с подменненым содержимым (в виде обратного IP адреса и порта жертвы)

Задача: проанализировать предоставленные логи, убедиться/опровергнуть теорию выше, написать тест утилиту этой атаки.

Логи: https://dropmefiles.com/LAijs
Телеграмм: ionotrop

Ссылка

←	Разовые работы по написанию сценариев сборки для Gentoo Linux, оплата сдельная

Нашли программиста

→

https://www.google.com/search?q=ddos dns amplification attack

level1 ★★
(02.08.19 06:14:55 MSK)

Ссылка

DDoS DNS Amplifiction, работает по UDP, а у вас множество ACK запросов. Поэтому в данном случае, я думаю это другой тип атаки.

engine
(02.08.19 09:33:44 MSK)

Ответ на: комментарий от engine 02.08.19 09:33:44 MSK

А вы правы. Но тогда при чем тут dns, о котором пишет ТС?

level1 ★★
(02.08.19 18:05:49 MSK)

Ссылка

очевидно же, syn-flood

kernist
(02.08.19 20:08:53 MSK)

Ответ на: комментарий от kernist 02.08.19 20:08:53 MSK

Syn-flood это когда бьют syn'ами, а тут жертва получает ack'и.

Накладные расходы при получении syn заключаются в выделении памяти под структуру, отсылки назад ack/syn, ожидания ack. А при получении левого ack, модуль TCP просто сразу его откидывает, расходы минимальны.

level1 ★★
(03.08.19 06:59:38 MSK)