Wireshark 数据包分析学习笔记 Day14

所有拒绝服务类型的攻击的目的都是相同的，那就是要是使受攻击的服务器系统瘫痪或服务失效，从而使合法用户无法得到相应的资源。

SYN flooding 攻击是针对 TCP 协议的，它的主要目的是占用目标上所有可用的连接请求。而 UDP flooding 攻击则是针对 UDP 协议的，主要目的是耗尽目标所在网络的带宽。

客户端将设置要发送的数据包中 tcp.windowsize 的值，其目的是向服务端提供自己当前缓冲区的大小，这里的值为 tcp.windowsize_value == 65535，TCP 最大片段大小 (MSS)为 1440，表示客户端可以接受 65535/1440=45 个数据包。

给这个半开的连接设置一个计时器，如果计时完成了还没有收到客户端的 ACK 回应，就会重新发送 SYN-ACK 消息，直到超过一定次数之后才会释放连接。服务器需要为每一个半开连接分配一定的系统资源，所以当出现数量众多的半开连接时，服务器就会因为资源耗尽，进而停止对所有连接请求的响应。

防护 SYN Flooding 的手段主要有 3 种：

（1）丢弃第一个 SYN 数据包；（2）反向探测；（3）代理模式。

分布式拒绝服务攻击（Distributed Denial of Service，DDoS），这种攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。

•tcp.flags == 0x0018：显示所有的 PSH，ACK 数据包。

•tcp.flags == 0x0011：显示所有的 FIN 和 ACK 数据包。

•tcp.flags == 0x0010：显示所有的 ACK 数据包。

WinHex 是一款极为精巧的文件编辑工具，你可以在互联网上很容易地下载到它，大小只有几 MB。

换行符对应的是“0D 0A”。