一、说明 用Socket的API Connect完成TCP建立连接的三次握手，同时子进程抓包，抓完三次握手的包后，插入第四个包即可，从对端返回的第五个包来看插入成功了，但因为插入了一个TCP包，之后的连接将发生混乱。可以将插入的那个包Data设置为HTTP Request，向WEB服务器提交请求。又如果目标系统的TCP序列号是可预计算的，那么是否可以做带伪源地址的Blind TCP three-time handshakes和插入，值得试验!

　　作者所做的实验其实什么也说明不了，只是验证了一下TCP协议序号和检验和计算函数而已。

　　我想作者八成是受了CC攻击原理的启发，想不通过代理的方式以达到CC攻击效果。但在序号预测这个步骤上，说实话没有可行性。正常TCP协议采用的同步序号是随机值，在43亿的可选空间中，以百兆带宽的速度进行预测也将是杯水车薪。但是……

　　为了防御ddos，不少厂商的安全设备中都实现了无状态的syn cookie算法，这种算法在大量syn冲击下利用cookie序号在ack包回传的方式判断连接请求的合法性。所以他们的TCP协议握手部分不是一个健康的实现，本思路经修改后用于攻击此类设备将会取得不错的效果。下面简单介绍攻击者如何以64字节ACK包换取服务器1518大数据包重传，如果源IP伪造成功，攻击者从理论上将获得20余倍的带宽放大攻击效果 。如果有两个目标网站，本方法将一箭双雕。

　　攻击原理：利用TCP协议收到ACK后的快速重传机制

　　序号乱刀之一：攻击正常TCP/IP协议栈示意图

　　当我们获得http response回应后，立即回复一个ack数据包，此ack数据包的seq值是http response数据包中的ack seq值，而ack seq值为http response数据包的seq序号值。这样当server收到此ack数据包后，会认为是自己刚才发送的http response包在网络中已丢失，会利用快速重传机制加以重传。如果我们拼命发送大量的ack包，则服务器就会不断进行重传。Ack数据包的大小只需64字节，但http response通常都在512字节左右，最长可达1518字节。

　　因为正常tcp协议序号的不可预测性，所以我们在这次攻击中暴露了自己的真实IP。