SYN Flood (SYN洪水) 是種典型的DoS (Denial of Service，拒絕服務(wù)) 攻擊，屬于DDos攻擊的一種。遭受攻擊后服務(wù)器TCP連接資源耗盡，最后停止響應(yīng)正常的TCP連接請求。盡管這種攻擊已經(jīng)出現(xiàn)了十多年，但它的變種至今仍能看到。雖然能有效對抗SYN洪泛的技術(shù)已經(jīng)存在，但是沒有對于TCP實現(xiàn)的一個標(biāo)準(zhǔn)的補(bǔ)救方法出現(xiàn)。今天小編將詳述這種攻擊原理以及對抗SYN洪水的方法~

防御 SYN Flood攻擊

配置iptables規(guī)則

Iptables防火墻我們可以理解為Linux系統(tǒng)下的訪問控制功能，我們可以利用Iptables來配置一些規(guī)則來防御這種攻擊。強(qiáng)制SYN數(shù)據(jù)包檢查，保證傳入的tcp鏈接是SYN數(shù)據(jù)包，如果不是就丟棄。

#iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP 

強(qiáng)制檢查碎片包，把帶有傳入片段的數(shù)據(jù)包丟棄。

#iptables -A INPUT -f -j DROP 

丟棄格式錯誤的XMAS數(shù)據(jù)包。

#iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 

丟棄格式錯誤的NULL數(shù)據(jù)包。

#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 

當(dāng)Iptables配置完成后我們可以使用nmap命令對其驗證

# nmap -v -f FIREWALL IP 
# nmap -v -sX FIREWALL IP 
# nmap -v -sN FIREWALL IP 

例如：

其他防御方式：

除此之外針對SYN攻擊的幾個環(huán)節(jié)，我們還可以使用以下處理方法：

方式1：減少SYN-ACK數(shù)據(jù)包的重發(fā)次數(shù)(默認(rèn)是5次)

sysctl -w net.ipv4.tcp_synack_retries=3 
sysctl -w net.ipv4.tcp_syn_retries=3 

方式2：使用SYN Cookie技術(shù)

sysctl -w net.ipv4.tcp_syncookies=1 

方式3：增加backlog隊列(默認(rèn)是1024)：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048 

方式4：限制SYN并發(fā)數(shù)：

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s 

文章標(biāo)題：巧用iptables防御DDoS攻擊！
文章地址：http://jinyejixie.com/news34/102184.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、企業(yè)網(wǎng)站制作、手機(jī)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司、關(guān)鍵詞優(yōu)化、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)