2021-02-21 分類: 網(wǎng)站建設(shè)
SYN Flood (SYN洪水) 是種典型的DoS (Denial of Service,拒絕服務(wù)) 攻擊,屬于DDos攻擊的一種。遭受攻擊后服務(wù)器TCP連接資源耗盡,最后停止響應(yīng)正常的TCP連接請(qǐng)求。盡管這種攻擊已經(jīng)出現(xiàn)了十多年,但它的變種至今仍能看到。雖然能有效對(duì)抗SYN洪泛的技術(shù)已經(jīng)存在,但是沒有對(duì)于TCP實(shí)現(xiàn)的一個(gè)標(biāo)準(zhǔn)的補(bǔ)救方法出現(xiàn)。今天小編將詳述這種攻擊原理以及對(duì)抗SYN洪水的方法~
防御 SYN Flood攻擊
配置iptables規(guī)則
Iptables防火墻我們可以理解為L(zhǎng)inux系統(tǒng)下的訪問控制功能,我們可以利用Iptables來配置一些規(guī)則來防御這種攻擊。強(qiáng)制SYN數(shù)據(jù)包檢查,保證傳入的tcp鏈接是SYN數(shù)據(jù)包,如果不是就丟棄。
- #iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP
強(qiáng)制檢查碎片包,把帶有傳入片段的數(shù)據(jù)包丟棄。
- #iptables -A INPUT -f -j DROP
丟棄格式錯(cuò)誤的XMAS數(shù)據(jù)包。
- #iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
丟棄格式錯(cuò)誤的NULL數(shù)據(jù)包。
- #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
當(dāng)Iptables配置完成后我們可以使用nmap命令對(duì)其驗(yàn)證
- # nmap -v -f FIREWALL IP
- # nmap -v -sX FIREWALL IP
- # nmap -v -sN FIREWALL IP
例如:
其他防御方式:
除此之外針對(duì)SYN攻擊的幾個(gè)環(huán)節(jié),我們還可以使用以下處理方法:
方式1:減少SYN-ACK數(shù)據(jù)包的重發(fā)次數(shù)(默認(rèn)是5次)
- sysctl -w net.ipv4.tcp_synack_retries=3
- sysctl -w net.ipv4.tcp_syn_retries=3
方式2:使用SYN Cookie技術(shù)
- sysctl -w net.ipv4.tcp_syncookies=1
方式3:增加backlog隊(duì)列(默認(rèn)是1024):
- sysctl -w net.ipv4.tcp_max_syn_backlog=2048
方式4:限制SYN并發(fā)數(shù):
- iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s
本文名稱:巧用iptables防御DDoS攻擊!
網(wǎng)頁地址:http://www.rwnh.cn/news/102184.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、網(wǎng)站導(dǎo)航、微信公眾號(hào)、定制開發(fā)、全網(wǎng)營(yíng)銷推廣、電子商務(wù)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容