[问题求助]熟悉TCP/IP和Iptables的朋友进来看看！ [复制链接]

B.3.. NEW状态的SYN/ACK包.
某些，TCP欺骗攻击所用的技术叫做序列号预测（Seque.nce Number Prediction）。在这.类攻击中，攻击者利用另一台机子的.IP访问攻击对象.（译者注：这就是为什么叫欺骗的原因了，攻击者是想假冒另一台被攻 击对象信任的机子，以达到欺骗攻击对象的目的），然后再试着预测攻击对象使用什么序列号。

我们来看看典型的使用序列号预测.技术的欺骗是如何实现.的，参与者：攻击者[A]（attacker）试图假装 另一台机子[.O]（other host）向受害者[V]（victim）发送数据。.

1.  .  [A]以[O]的IP为源地.址向[V]发SYN。--------------彩票

2.    [V]向[O]回应S.YN/ACK。.

3.    现在，若[O]以.RST回应.这个未知的SYN/ACK，攻击.就失败了，但如果[O]已经没有这个能力了呢？比如它早已被另外的攻击（如SYN flood）降服，或者被关闭，或者它的RST包被防火墙拒绝。.

4.    如果[O]没能破坏这条连接，而且.[.A]猜对了序列号，那它就能以[O]的身份和[V]交谈了。虚拟主机

只要我们没能在第三步以RST回应那个未知的SYN/ACK包，[V]就会被攻击，而且我们还会被连累（译者 注：因为我们本身也被攻击了，而且还可能会成为攻击者的替.罪羊被起诉，呜呜，好惨）。所以，为安全起见，我们应该以正确的方式向[V]发送一个RST包。如果.我们使用.类似“NE.W not SYN rules”（译者注：在上 一小节中）的.规则，SYN/ACK包就可以被丢弃了。因此，我们在bad_tcp_packets链中加入了如下规则：           鲜花

iptables -A
ba.d_tcp_packets -p tcp --tcp-flag.s SYN,ACK SYN,ACK \          婚庆
-m stat.e --state NEW .-j REJECT --reject-with tcp-reset电影
  
这.样，你想成为上面那.个[O]的机会就很少了（译者注：作者好幽默啊，我们可不想成为被别人利用的对 象），而且这条规则在绝大部分情况下是安全的，不会有什么副作用，但多个防火墙要协同工作的情况要除外。那种情况下，防火墙之间会经常传递.、接受包或流，有了这条规则，有些连接可能会被阻塞，即使是合 法的连接。.这条规则的.存在还产生了另外一问题，就是有几个portscan（端口扫描器）会看到我们的防火墙，但好在仅此而已。域名

+++++++++++++.++++++++++++++++++.++++++++++.

上面那个规则没怎么看懂，熟悉的兄弟帮我解释一下.。    美容

它的意思是不是说如果"SYN,ACK SYN,ACK "这三个T.CP.标记的状态为“NEW”的话就拒绝？             汽车

理解错误了，它的意思应该是将“SYN/ACK ”这个TCP标记被设置并且包状态为“NEW”的tcp包拒绝。

iptables -A
bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset

对于tcp标志为SYN,ACK SYN,ACK，连接类型为新建连接的tcp数据包予以拒绝，并返回tcp-rest既RST给对方主机

-m state没弄懂

这是防范DOS,DDOS和RDDOS的一些安全措施