Сведения о вопросе

SOON

23:14, 2nd October, 2020

А будет ли tcpdump видеть ack flood?

Просмотров: 233   Ответов: 2

TCP-«рукопожатие» при установлении соединения состоит из SYN, SYN+ACK, ACK-пакетов.
Вопрос — если на сервер начнется флуд из пакетов, данные которых (включая source ip, destination port) установлены «от великого рандома», а тип указан как ACK — пройдут ли эти пакеты линуксовый стек достаточно глубоко, чтобы показаться в логах pcap-основанных сниферов? (предполагается, что по пути пакеты проходят только идеально дружелюбные роутеры, пропускающие всё). Если нет, то какие опции sysctl'а могли бы повлиять на это поведение?



  Сведения об ответе

VCe znayu

12:59, 27th September, 2020

tcpdump, по идее, ловит все. Линуксовый стек аки точно пройдут, вроде даже есть техника разведки — ack scan. Попробуйте где-нибудь, например, с помощью hping. По-моему, опция -A


  Сведения об ответе

repe

05:20, 30th September, 2020

Никто не мешает снифать до MAC уровня


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться