@selenite

А будет ли tcpdump видеть ack flood?

TCP-«рукопожатие» при установлении соединения состоит из SYN, SYN+ACK, ACK-пакетов.
Вопрос — если на сервер начнется флуд из пакетов, данные которых (включая source ip, destination port) установлены «от великого рандома», а тип указан как ACK — пройдут ли эти пакеты линуксовый стек достаточно глубоко, чтобы показаться в логах pcap-основанных сниферов? (предполагается, что по пути пакеты проходят только идеально дружелюбные роутеры, пропускающие всё). Если нет, то какие опции sysctl'а могли бы повлиять на это поведение?
  • Вопрос задан
  • 2692 просмотра
Решения вопроса 1
digreen
@digreen
tcpdump, по идее, ловит все. Линуксовый стек аки точно пройдут, вроде даже есть техника разведки — ack scan. Попробуйте где-нибудь, например, с помощью hping. По-моему, опция -A
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
kashey
@kashey
Программирую большую половину жизни
Никто не мешает снифать до MAC уровня
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы