1.簡介
SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一,這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,常用假冒的IP或IP號段發(fā)來海量的請求連接的第一個握手包(SYN包),被攻擊服務(wù)器回應(yīng)第二個握手包(SYN+ACK包),因為對方是假冒IP,對方永遠(yuǎn)收不到包且不會回應(yīng)第三個握手包。導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的“半連接”,并且會重試默認(rèn)5次回應(yīng)第二個握手包,塞滿TCP等待連接隊列,資源耗盡(CPU滿負(fù)荷或內(nèi)存不足),讓正常的業(yè)務(wù)請求連接不進(jìn)來。
詳細(xì)的原理,網(wǎng)上有很多介紹,應(yīng)對辦法也很多,但大部分沒什么效果,這里介紹我們是如何診斷和應(yīng)對的。
2. 診斷
我們看到業(yè)務(wù)曲線大跌時,檢查機(jī)器和DNS,發(fā)現(xiàn)只是對外的web機(jī)響應(yīng)慢、CPU負(fù)載高、ssh登陸慢甚至有些機(jī)器登陸不上,檢查系統(tǒng)syslog:
代碼如下:
# tail -f /var/log/messages
Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.
檢查連接數(shù)增多,并且SYN_RECV 連接特別多:
代碼如下:
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 16855
CLOSE_WAIT 21
SYN_SENT 99
FIN_WAIT1 229
FIN_WAIT2 113
ESTABLISHED 8358
SYN_RECV 48965
CLOSING 3
LAST_ACK 313
根據(jù)經(jīng)驗,正常時檢查連接數(shù)如下:
代碼如下:
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 42349
CLOSE_WAIT 1
SYN_SENT 4
FIN_WAIT1 298
FIN_WAIT2 33
ESTABLISHED 12775
SYN_RECV 259
CLOSING 6
LAST_ACK 432
以上就是TCP洪水攻擊的兩大特征。執(zhí)行netstat -na>指定文件,保留罪證。
3.優(yōu)化Linux阻擋SYN洪水攻擊
如果在Linux服務(wù)器下遭受SYN洪水攻擊,可以進(jìn)行如下一些設(shè)置:
代碼如下:
#縮短SYN- Timeout時間:
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT
#每秒 最多3個 syn 封包 進(jìn)入 表達(dá)為 :
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT
#設(shè)置syncookies:
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=3072
sysctl -w net.ipv4.tcp_synack_retries=0
sysctl -w net.ipv4.tcp_syn_retries=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
#防止PING:
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#攔截具體IP范圍:
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j Drop
| 
大家都在看
