IP地址欺骗工具：scapy

Syn-Flood

协议上所谓的连接，不同与物理意义连接，且中间的路由设备上并没有链接状态的记录，只负责转发，只是一个客户端和服务端的约定，无法确定确定被收到。

占用的最大TCP连接数，不是内存和CPU资源

各系统最大TCP连接数不一样

Scapy
     i=IP() #造IP包头
     i.dst=“1.1.1.1” #，目标地址
     i.display() #显示 IP 包头
     t=TCP() # 造TCP包头

     t.dport=22 #目标端口
     sr1(i/t,verbose=1,timeout=3) #发送数据包

     sr1(IP(dst=1.1.1.1)/TCP())

让系统不发RST包

iptables -A OUTPUT -p tcp --tcp-flags RST RST -d 1.1.1.1 -j DROP

统计tcp链接数量

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

metasploittable2默认最大半连接256个

windowsXP默认最大并发连接数10个

TCP通信过程中的连接状态

建立连接三次握手

断开连接发起双方都可以发起

断开连接多次握手

重传机制，重发请求，在一定等待时间之内

IP地址欺骗

大部分拒绝服务攻击常伴随IP地址欺骗

单一源地址太容易处理

经常用于DoS攻击

根据IP头地址寻址，伪造IP源地址

但是边界路由器过滤，入站，出站

受害者可能是源目的地址

绕过基于地址的验证

压力测试模拟多用户

防IP地址欺骗，根据上层协议（TCP序列号），很难预判

TCP链路劫持

目前应该有所突破