我很好奇 DoS 攻击会如何影响家庭路由器。特别是,我对 SYN 洪水将如何影响家庭路由器感兴趣。
我感兴趣的原因是我阅读了一份 Cisco 文档。在文件中,它说 SYN 洪水攻击会影响家庭路由器。对我来说这似乎很奇怪,因为 SYN 泛洪必须指定要攻击的 TCP 端口。
为了说明针对路由器的基本 SYN 泛洪,我快速将下图拼凑在一起:
图像注意事项:图中,攻击者用红色 A 表示。攻击者正在向路由器发送 SYN 消息。SYN 数据包使用伪造的 IP 地址来掩盖其来源。问号只是表示攻击者设置为假源 IP 地址的随机 IP 地址。绿线反映路由器向这些随机 IP 地址发送 SYN-ACK 数据包。
在执行 SYN 泛洪攻击时,还要指定他们将要攻击的端口。据我所知,路由器不断打开不同的端口,这允许它是异步的。那么,攻击者如何知道要攻击哪些端口呢?攻击者是否不需要知道哪些端口是开放的以及何时开放?
我可以看到对路由器起作用的 SYN 洪水的唯一方法是,如果路由器有一个公共端口不断打开并且 SYN 洪水迫使路由器用完其所有 RAM。
有人可以就此事提供一些澄清吗?
SYN 泛洪可以通过三种主要方式作用于家庭路由器:
如果路由器正在执行 NAT 并且有一个端口转发到服务器,SYN 泛洪会填满路由器的 NAT 表,导致它断开连接。
SYN 洪水可以充当简单的带宽不足攻击。典型的家用路由器处于非对称连接上,上行带宽有限,因此针对关闭端口的 SYN 泛洪可能会因路由器发送的 RST 数据包而阻塞上行连接。
家用路由器固件通常相当脆弱。简单地将 SYN 数据包扔给它太快会导致崩溃,从而断开连接。
路由器通常运行轻量级 Web 服务器,提供对配置 Web 界面的访问。在大多数情况下,它在端口 80、8080 或其他常见端口上运行(如果用户未更改)。
攻击者(站在本地子网,如果路由器上没有启用“远程管理”之类的功能,并且WAN端口有公共IP地址)可以使用端口扫描器进行扫描,然后发送带有伪造IP的SYN数据包那个港口。然后,如果路由器 TCP/IP 堆栈没有实现 SYN cookie,结果将被填充到它的限制 SYN 队列,并且由于 SOHO 路由器等嵌入式设备的内存有限,将无法建立新的连接。
我相信关键是家庭路由器上的开放端口是什么。如果一个人只有一个路由器,并且该路由器后面没有服务器或 DMZ,则路由器应该忽略并记录该请求。但是,我真的不能说在任何人的路由器上默认打开了哪些端口。您可以进行端口扫描,但除非您有一个非常好的路由器,您可以 100% 控制将其配置为您想要的,否则我看不出有任何方法可以阻止这些 dang syn flood 攻击。无论如何,您的网络都会陷入困境。
如果 ISP 会为您过滤该流量,那就太好了......对于家庭用户来说,ISP 端不应该请求创建或请求连接,除非您在家庭网络之外有其他一些服务需要连接。在任何情况下,如果 ISP 看到有一个国际同步请求进来,他们应该只配置他们的路由器将它们发送到 void,而不是将请求转发给家庭用户。