TCP/IP详解 第十二章(6) 如何防御 SYN 攻击?

最新推荐文章于 2024-04-06 13:46:56 发布
最新推荐文章于 2024-04-06 13:46:56 发布
阅读量417 收藏 2
点赞数
分类专栏: tcp/ip详解
原文链接:https://mp.weixin.qq.com/s/2qN0ulyBtO2I67NB_RnJbg
版权

如何防御 SYN 攻击?

这里给出几种防御 SYN 攻击的方法:

  • 增大半连接队列;

  • 开启 tcp_syncookies 功能

  • 减少 SYN+ACK 重传次数

方式一:增大半连接队列

在前面源码和实验中,得知要想增大半连接队列,我们得知不能只单纯增大 tcp_max_syn_backlog 的值,还需一同增大 somaxconn 和 backlog,也就是增大全连接队列。否则,只单纯增大 tcp_max_syn_backlog 是无效的。

增大 tcp_max_syn_backlog 和 somaxconn 的方法是修改 Linux 内核参数:

 

增大 backlog 的方式,每个 Web 服务都不同,比如 Nginx 增大 backlog 的方法如下:

最后,改变了如上这些参数后,要重启 Nginx 服务,因为半连接队列和全连接队列都是在 listen() 初始化的。

方式二:开启 tcp_syncookies 功能

开启 tcp_syncookies 功能的方式也很简单,修改 Linux 内核参数:

方式三:减少 SYN+ACK 重传次数

当服务端受到 SYN 攻击时,就会有大量处于 SYN_REVC 状态的 TCP 连接,处于这个状态的 TCP 会重传 SYN+ACK ,当重传超过次数达到上限后,就会断开连接。

那么针对 SYN 攻击的场景,我们可以减少 SYN+ACK 的重传次数,以加快处于 SYN_REVC 状态的 TCP 连接断开。

方式四:使用iptables 防止syn泛洪攻击

问题1:iptables 限制的syn洪水攻击是不是就不会让syn进入半链接队列了?

回复:是的

问题2:如果已经用iptables 限制的syn洪水攻击,syn洪水攻击的时候仍然会使服务器的cpu占用率升高吗?我实际测试是升上去的,但是没有使用hping3测试,只是使用jmeter测试的

回复:

       那你的这测试结果,跟hping3应该没什么差别,有大量的网络包进入系统,虽然能阻止SYN攻击进入半连接队列,但是大量的流量是会导致CPU过高,大量有网络包进入系统可能会一直触发中断信号。

        这个iptables软件防火墙理论上只要有大量包过来,即使执行过滤判断也会消耗CPU。如果是硬件级别的防火墙就不用占用主机的CPU了,自己里面有芯片进行运算

             

[1] 系统性能调优必知必会.陶辉.极客时间.

[2] https://blog.cloudflare.com/syn-packet-handling-in-the-wild

cft56200_ln
关注
专栏目录
TCP/IP协议详解
王佳斌
05-11 38万+
认识HTTP协议 它是互联网协议(Internet Protocol Suite),一个网络通信模型,是互联网的一个基本的构架。 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件...
TCP/IP协议传输层详解
weixin_59371851的博客
10-26 4752
传输层协议主要有两个,分别是UDP协议和TCP协议。我们说了TCP是可靠连接, 那么是不是TCP一定就优于UDP呢?TCP和UDP之间的优点和缺点, 不能简单, 绝对的进行比较。归根结底, TCP和UDP都是程序员的工具, 什么时机用, 具体怎么用, 还是要根据具体的需求场景去判定。
如何进行SYN攻击防范
Vi的博客
04-19 6682
SYN攻击防范技术主要分为两大类,第一种是通过防火墙等过滤网关防护,另一种是通过加固TCP/IP协议栈进行防范。但是我们要知道,不论是利用哪种防护措施,SYN攻击防范是不可能达到完美的。我们只能尽可能减少SYN攻击所造成的危害。1、过滤网关防护这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护
服务器SYN洪水攻击原理和防御办法-SynAttackProtect保护机制
我是飞飞啊,不一定温柔,但一定自由
02-20 2700
服务器SYN洪水攻击原理和防御办法-SynAttackProtect保护机制一、设置SynAttackProtect键值步骤二、防止SYN洪水攻击修改项说明三、特别注意 SYN洪水攻击是利用客户端和服务端建立TCP连接,服务器必须收到客户端返回的一个ACK包才完成建立连接,否则一直处于等待的缺陷,连续发送SYN报文给服务器端请求建立TCP连接,却不回应(这种情况称为半开连接),当半开连接数达到系统允许的最大值时,系统不再接受建立连接请求,即后面的用户无法访问到服务器。 拿网站服务器来说就是无法打开网页,
如何防御 SYN 攻击
weixin_45880055的博客
09-22 1156
描述 前言 网上许多博客针对增大 TCP 半连接队列和全连接队列的方式如下: 增大 TCP 半连接队列方式是增大 tcp_max_syn_backlog; 增大 TCP 全连接队列方式是增大 listen() 函数中的 backlog; 这里先跟大家说下,上面的方式都是不准确的。 “你怎么知道不准确?” 很简单呀,因为我做了实验和看了 TCP 协议栈的内核源码,发现要增大这两个队列长度,不是简简单单增大某一个参数就可以的。 接下来,就会以实战 + 源码分析,带大家解密 TCP 半连接队列和全连接队列。 “源
SYN 洪泛、SYN 攻击、DDos 攻击以及如何抵御
居老师的博客
04-25 1480
SYN 洪泛、SYN 攻击、DDos 攻击实际上就是对服务端一直发送 TCP SYN 包,但是不回第三次握手 ACK,这样就会使得服务端有大量的处于 SYN_RECV 状态的 TCP 连接。 这里给出几种防御 SYN 攻击方法: 增大半连接队列; 开启 tcp_syncookies 功能 减少 SYN+ACK 重传次数 方式一:增大半连接队列 要想增大半连接队列,我们得知不能只单纯增大 tcp_max_syn_backlog 的值,还需一同增大 somaxconn 和 backlog,也就是增大全
syn flood攻击_教你如何在Linux中防止SYN Flood攻击
weixin_39970994的博客
01-26 144
SYN泛洪攻击(SYN Flood)是指使用不完善的TCP/IP三次握手,恶意发送大量只包含SYN握手序列的数据包的攻击方法。这种攻击方法可能会导致被攻击的计算机拒绝服务甚至崩溃,从而使潜在的连接占用大量的系统资源,无法完成三次手。如果您遭受SYN洪水攻击下的Linux服务器,您可以设置以下:减少SYN-超时时间:iptables -A FORWARD -p tcpsyn -m limit –...
TCP/IP协议 (史上最全讲解)
ttthe_shy_的博客
09-01 4334
TCP 通过检验和、序列号、确认应答机制、超时重传机制、连接管理以及窗口控制等机制实现可靠性传输。
TCP/IP详解
茶叶蛋的博客
05-16 1072
TCP/IP详解 原文地址:TCP/IP详解 简介 TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是指能够在多个不同网络间实现信息传输的协议簇。TCP/IP协议不仅仅指的是TCPIP两个协议,而是指一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇, 只是因为在TCP/IP协议中TCP协议和IP协议最具代表性,所以被称为TCP/IP协议。 IP协议 IP 协议位于 TCP/IP 协议的第三层——网络层。
什么是SYN攻击,有什么办法防御SYN攻击
最新发布
dexunyun的博客
04-06 2712
在一个SYN Flood攻击中,攻击者发送大量伪造的TCP连接请求(SYN数据包),使得目标服务器不断响应这些请求并且维护TCP连接,最终导致服务器资源耗尽无法响应合法的连接请求从而实现拒绝服务攻击。1、高防服务器:高防服务器配有专门定制的硬件防火墙,通过拦截恶意流量手段来有效防御SYN Flood攻击,同时,可以在防火墙上设置SYN转发超时参数,使其远小于服务器的timeout时间,从而及时丢弃无效的SYN请求,有效地阻挡来自恶意IP地址的SYN包。因此,延缓TCB的分配可以有效地减轻服务器资源的消耗。
syn flood 原理及防护
绝迹·危言的专栏
02-23 1550
一、为什么Syn Flood会造成危害 这要从操作系统的TCP/IP协议栈的实现说起。当开放了一个TCP端口后,该端口就处于Listening状态,不停地监视发到该端口的Syn报文,一旦接收到Client发来的Syn报文,就需要为该请求分配一个TCB(Transmission Control Block),通常一个TCB至少需要280个字节,在某些操作系统中TCB甚至需要1300个字节,并返回一
什么是 SYN 攻击?如何避免 SYN 攻击
Hoshea_sun的博客
03-27 2327
SYN 攻击方式最直接的表现就会把 TCP 半连接队列打满,这样,导致客户端无法和服务端建立连接。方式一:调大 netdev_max_backlog当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。控制该队列的最大值如下参数,默认值是 1000,我们要适当调大该参数的值,比如设置为 10000方式二:增大 TCP 半连接队列方式三:开启 net.ipv4.tcp_syncookiescookieaccpet()
防止DDOS攻击的策略
02-12 2817
防止SYN泛洪攻击 开启路由器的TCP拦截 intercept,大多数的路由器平台都引用了该功能,其主要作用就是防止SYN泛洪攻击SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的
TCP/IP / SYN 攻击以及解决办法
布袋和尚
11-07 882
SYN 攻击是利用 TCP/IP 三次握手时,Server 需要回复 SYN + ACK 等待 Client 回复时会等待一段时间的特性来进行攻击的。攻击者会同时伪造大量的 IP 和 Port 来与 Server 进行连接,Server 会不断的申请资源来等待这些 Client 回复 ACK,但是这些 Client 均是伪造故不可能恢复,所以短时间会造成 Server 端资源紧张甚至...
SYN攻击原理以及防范技术
woden的专栏
05-18 641
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法.相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏.本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术.    一、TCP握手协议    在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立
什么是 SYN 洪水攻击?如何防护?
萌兔兔MMQ!!
06-29 3691
SYN 洪水(半开连接攻击)是一种拒绝服务 (DDoS) 攻击,旨在耗尽可用服务器资源,致使服务器无法传输合法流量。通过重复发送初始连接请求 (SYN) 数据包,攻击者将可击垮目标服务器计算机上的所有可用端口,导致目标设备在响应合法流量时表现迟钝乃至全无响应。SYN 洪水攻击如何工作? SYN 洪水攻击利用 TCP 连接的握手过程发动攻击。正常情况下,TCP 连接将完成三次握手以建立连接。1、首先,客户端向服务器发送 SYN 数据包以发起连接。 2、接着,服务器通过 SYN/ACK 数据包对该初始数据包做出
你知道跟 TCP三次握手息息相关的半连接队列和全连接队列吗?
小林coding
05-30 4390
前言 网上许多博客针对增大 TCP 半连接队列和全连接队列的方式如下: 增大 TCP 半连接队列的方式是增大 /proc/sys/net/ipv4/tcp_max_syn_backlog; 增大 TCP 全连接队列的方式是增大 listen() 函数中的 backlog; 这里先跟大家说下,上面的方式都是不准确的。 “你怎么知道不准确?” 很简单呀,因为我做了实验和看了 TCP 协议栈的内核源码,发现要增大这两个队列长度,不是简简单单增大某一个参数就可以的。 接下来,就会以实战 + 源码分析,带大家
网络扫描技术揭秘读书笔记3--TCP SYN扫描
神探
12-17 3681
TCP SYN扫描 使用Winpcap库实现 核心代码 需要改进的问题: 线程结束的控制 处理多个IP的返回结果 void CPortScan_TCPDlg::SynScan_By_WinpCap(UNIONIP uIPBegin,UNIONIP uIPEnd,UINT uPortBegin,UINT uPortEnd) { MessageBox(_T("sys scan
SYN洪泛攻击(网络攻防原理与技术)
qq_42578714的博客
07-08 1184
第一次写博客,因为在调试那本书的代码的时候碰到很多问题,感谢CSDN的帮助,现在准备把调试好了的源码发出来给学弟学妹们分享,也供大家交流学习,本人很菜,如有问题,请多指正。 本段代码仅限于研究学习,禁止用于破坏活动,对于出现安全问题,本人概不负责! 运行环境:VS2013、WinPcap #define WIN32_LEAN_AND_AND_MEAN #define _WSPIAPI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值