自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

你還在花錢防御DDoS?巧用iptables 5招免費搞定 SYN洪水攻擊!

作者:老王談運維
安全 黑客攻防
SYN Flood (SYN洪水) 是種典型的DoS (Denial of Service,拒絕服務(wù)) 攻擊,屬于DDos攻擊的一種。

 SYN Flood (SYN洪水) 是種典型的DoS (Denial of Service,拒絕服務(wù)) 攻擊,屬于DDos攻擊的一種。遭受攻擊后服務(wù)器TCP連接資源耗盡,停止響應(yīng)正常的TCP連接請求。盡管這種攻擊已經(jīng)出現(xiàn)了十多年,但它的變種至今仍能看到。雖然能有效對抗SYN洪泛的技術(shù)已經(jīng)存在,但是沒有對于TCP實現(xiàn)的一個標(biāo)準(zhǔn)的補(bǔ)救方法出現(xiàn)。今天小編將詳述這種攻擊原理以及對抗SYN洪水的方法~

攻擊原理

正常的三次握手:

  1. 先發(fā)起一個 SYN=1 的包,并且?guī)б粋€序列號( Seq );
  2. 服務(wù)器收到這個包以后,將這個數(shù)據(jù)放入到一個隊列中,這個隊列叫 syn_table 。并且發(fā)送一個返回包,作為響應(yīng),這個返回包有自己的序列號( Seq ),以及一個 Ack , Ack 的值就是客戶端發(fā)來的 Seq 值加一;
  3. 客戶端收到返回信息以后,將服務(wù)器的 Seq 加一作為 Ack 又發(fā)給服務(wù)器;
  4. 服務(wù)器收到這第三個包,驗證沒問題以后,就將這個連接放入到 request_sock_queue,三次握手完成。

 

你還在花錢防御DDoS?巧用iptables 5招免費搞定 SYN洪水攻擊!

 

SYN Flood 主要是利用了TCP協(xié)議的三次握手的缺陷,在這個攻擊中,F(xiàn)lood帶有一系列的syn數(shù)據(jù)包,每個數(shù)據(jù)包都會導(dǎo)致服務(wù)端發(fā)送SYN-ACK響應(yīng),然后服務(wù)器等待SYN+ACK之后的第三次握手ACK,由于客戶端是軟件生成的虛擬IP,永遠(yuǎn)不會再發(fā)送ACK響應(yīng)服務(wù)端,服務(wù)端會利用從傳機(jī)制直到超時后刪除,整個系統(tǒng)資源也會被隊列積壓消耗,導(dǎo)致服務(wù)器無法對正常的請求進(jìn)行服務(wù)。

 

你還在花錢防御DDoS?巧用iptables 5招免費搞定 SYN洪水攻擊!

 

如何判斷自己是否遭受 SYN 攻擊?

檢測SYN攻擊非常的簡單,當(dāng)你在服務(wù)器上看到大量的半連接狀態(tài)時,特別是源IP地址是隨機(jī)的,基本上可以斷定這是一次SYN攻擊。我們使用系統(tǒng)自帶的netstat 工具來檢測SYN攻擊:

  1. # netstat -n -p TCP 

反饋如圖

 

你還在花錢防御DDoS?巧用iptables 5招免費搞定 SYN洪水攻擊!

 

防御 SYN Flood攻擊

配置iptables規(guī)則

Iptables防火墻我們可以理解為Linux系統(tǒng)下的訪問控制功能,我們可以利用Iptables來配置一些規(guī)則來防御這種攻擊。強(qiáng)制SYN數(shù)據(jù)包檢查,保證傳入的tcp鏈接是SYN數(shù)據(jù)包,如果不是就丟棄。

  1. #iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP 

強(qiáng)制檢查碎片包,把帶有傳入片段的數(shù)據(jù)包丟棄。

  1. #iptables -A INPUT -f -j DROP 

丟棄格式錯誤的XMAS數(shù)據(jù)包。

  1. #iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 

丟棄格式錯誤的NULL數(shù)據(jù)包。

  1. #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 

當(dāng)Iptables配置完成后我們可以使用nmap命令對其驗證

  1. # nmap -v -f FIREWALL IP 
  2. # nmap -v -sX FIREWALL IP 
  3. # nmap -v -sN FIREWALL IP 

例如:

 

你還在花錢防御DDoS?巧用iptables 5招免費搞定 SYN洪水攻擊!

 

其他防御方式:

除此之外針對SYN攻擊的幾個環(huán)節(jié),我們還可以使用以下處理方法:

方式1:減少SYN-ACK數(shù)據(jù)包的重發(fā)次數(shù)(默認(rèn)是5次)

  1. sysctl -w net.ipv4.tcp_synack_retries=3 
  2. sysctl -w net.ipv4.tcp_syn_retries=3 

方式2:使用SYN Cookie技術(shù)

  1. sysctl -w net.ipv4.tcp_syncookies=1 

方式3:增加backlog隊列(默認(rèn)是1024):

  1. sysctl -w net.ipv4.tcp_max_syn_backlog=2048 

方式4:限制SYN并發(fā)數(shù):

  1. iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s 

 

責(zé)任編輯:武曉燕 來源: 今日頭條
DDoSSYN
相關(guān)推薦

2019-05-29 14:08:53

2014-04-09 14:15:23

2015-03-04 10:49:30

2012-11-30 14:54:48

2011-03-01 10:52:15

2012-02-14 09:43:08

2021-12-21 23:21:16

DDOS防御安全

2012-11-30 15:23:32

2015-07-23 10:18:45

2009-08-13 17:25:16

2010-09-27 08:46:53

2015-05-18 13:51:08

2010-09-16 20:54:21

2018-07-12 07:21:34

2010-09-30 10:01:38

2012-11-30 15:37:10

2016-09-29 22:54:55

2010-09-30 09:06:15

點贊
收藏

51CTO技術(shù)棧公眾號