安基网 欢乐生肖 安全 拒绝服务 查看内容

巧用iptables五招免费搞定SYN洪水攻击

2020-2-9 15:27| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: SYN Flood是种典型的DoS攻击,属于DDos攻击的一种;遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对 ...

SYN Flood是种典型的DoS攻击,属于DDos攻击的一种;遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对抗SYN洪水的方法分享给大家!

首先我们来看看SYN洪水攻击的攻击原理

正常的三次握手:

1。先发起一个SYN=1的包,并且带一个序列号(Seq);

2.服务器收到这个包以后,将这个数据放入到一个队列中,这个队列叫syn_table。并且发送一个返回包,作为响应,这个返回包有自己的序列号(Seq),以及一个Ack,Ack的值就是客户端发来的Seq值加一;

3。客户端收到返回信息以后,将服务器的Seq加一作为Ack又发给服务器;

4。服务器收到这第三个包,验证没问题以后,就将这个连接放入到request_sock_queue,三次握手完成。

SYN Flood 主要是利用了TCP协议的三次握手的缺陷,在这个攻击中,Flood带有一系列的syn数据包,每个数据包都会导致服务端发送SYN-ACK响应,然后服务器等待SYN+ACK之后的第三次握手ACK,由于客户端是软件生成的虚拟IP,永远不会再发送ACK响应服务端,服务端会利用从传机制直到超时后删除,整个系统资源也会被队列积压消耗,导致服务器无法对正常的请求进行服务。

那么如何判断自己是否遭受SYN攻击?

检测SYN攻击非常的简单,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat工具来检测SYN攻击:# netstat -n -p TCP

反馈如图

了解原理之后,我们来看看如何防御SYN Flood攻击

配置iptables规则

Iptables防火墙我们可以理解为Linux系统下的访问控制功能,我们可以利用Iptables来配置一些规则来防御这种攻击。强制SYN数据包检查,保证传入的tcp链接是SYN数据包,如果不是就丢弃。

#iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP

强制检查碎片包,把带有传入片段的数据包丢弃。

#iptables -A INPUT -f -j DROP

丢弃格式错误的XMAS数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

丢弃格式错误的NULL数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

当Iptables配置完成后我们可以使用nmap命令对其验证

# nmap -v -f FIREWALL IP

# nmap -v -sX FIREWALL IP

# nmap -v -sN FIREWALL IP

例如:

其他防御方式:

除此之外针对SYN攻击的几个环节,我们还可以使用以下处理方法:

方式1:减少SYN-ACK数据包的重发次数(默认是5次)

sysctl -w net。ipv4。tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

方式2:使用SYN Cookie技术

sysctl -w net。ipv4。tcp_syncookies=1

方式3:增加backlog队列(默认是1024):

sysctl -w net。ipv4。tcp_max_syn_backlog=2048

方式4:限制SYN并发数:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s

以上就是本文的全部内容,希望对大家防御SYN洪水攻击有一定的作用!你们的喜爱就是纳讯网络最大的期望!



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6772397997692027399/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
欢乐生肖 极速快乐十分 极速3分彩 湖南快乐十分 幸运赛车 上海快3开奖 欢乐生肖 快乐赛车 快乐赛车开奖 极速PK拾