LINUX對 SYN Flood 攻擊的設定摘

摘於http://www.cublog.cn/opera/showart.php?blogid=12384&id=107049

網頁在翻頁到乙個特定的頁面的時候，和伺服器80埠的連線被中止。

檢視了netstat -anlp 發現有類似以下的記錄，而ip就是我的。

tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 syn_recv -

由於可能是程式的問題，因為僅僅在瀏覽這張網頁的時候會出現這個問題，但是還是在netstat裡面偶爾會看到幾個 syn_recv ,所以就google了一下，在此總結一下。

1.對於大量的 syn_recv

若懷疑是syn flood攻擊，有以下建議:

這個攻擊的解決方法如下：

1，增加未完成連線佇列（q0)的最大長度。

echo 1280>;/proc/sys/net/ipv4/tcp_max_syn_backlog

2, 啟動syn_cookie。

echo 1>;/proc/sys/net/ipv4/tcp_syncookies

這些是被動的方法，治標不治本。而且加大了伺服器的負擔，但是可以避免被拒絕攻擊（只是減緩）

治本的方法是在防火牆上做手腳。但是現在能在一定程度上防住syn flood攻擊的防火牆都不便宜。並且把這個命令加入"/etc/rc.d/rc.local"檔案中

關於 syn cookies，請參閱 <>;

也許使用mod_limitipconn.c來限制apache的併發數也會有一定的幫助。

最終，僅僅修改了這個引數，但是也加上了iptables的防火牆規則，問題解決。

2.什麼是 tcp syn flood 攻擊?

發表日期：星期二, 15 六月 2004 @ 01:36:47 台北標準時間

tcp syn flood是一種常見，而且有效的遠端(遠端)拒絕服務(denial of service)攻擊方式，它透過一定的操作破壞tcp三次握手建立正常連線，占用並耗費系統資源，使得提供tcp服務的主機系統無法正常工作。由於tcp syn flood是透過網路底層對伺服器server進行攻擊的，它可以在任意改變自己的網路ip位址的同時，不被網路上的其他裝置所識別，這樣就給防範網路犯罪部門追查犯罪來源造成很大的困難。在國內內外的網站中，這種攻擊屢見不鮮。在乙個拍賣網站上，曾經有犯罪分子利用這種手段，在低價位時阻止其他使用者繼續對商品拍賣，干擾拍賣過程的正常運作。

系統檢查

一般情況下，可以一些簡單步驟進行檢查，來判斷系統是否正在遭受tcp syn flood攻擊。

1、服務端無法提供正常的tcp服務。連線請求被拒絕或超時。

2、透過 netstat -an 命令檢查系統，發現有大量的syn_recv連線狀態。

3. iptables的設定，引用自cu

防止同步包洪水（sync flood）

# iptables -a forward -p tcp --syn -m limit --limit 1/s -j accept

也有人寫作

#iptables -a input -p tcp --syn -m limit --limit 1/s -j accept

--limit 1/s 限制syn併發數每秒1次，可以根據自己的需要修改

防止各種埠掃瞄

# iptables -a forward -p tcp --tcp-flags syn,ack,fin,rst rst -m limit --limit 1/s -j accept

ping洪水攻擊（ping of death）

# iptables -a forward -p icmp --icmp-type echo-request -m limit --limit 1/s -j accept

LINUX對 SYN Flood 攻擊的設定摘

Linux攻防（二） python實現dos攻擊

Linux裝Windows系統，萌新必備攻略

Linux系統伺服器防攻措施

LINUX對 SYN Flood 攻擊的設定 摘

Linux攻防（二） python實現dos攻擊

Linux裝Windows系統，萌新必備攻略

Linux系統伺服器防攻措施

相關推薦

LINUX對 SYN Flood 攻擊的設定摘