本文详细介绍了Linux系统中常见的三种网络攻击:SYN攻击、DDoS攻击和CC攻击的原理。对于SYN攻击,提出了减少SYN-ACK重发次数、使用SYN Cookie技术和调整backlog队列大小等处理方法。对于DDoS攻击,介绍了DDoS deflate脚本的工作原理和配置,以及如何通过netstat命令判断是否遭受攻击。对于CC攻击,提供了检查和应对的方法,如监控80端口连接数和使用iptables封禁IP。
TCP自从1974年被发明出来之后,历经30多年发展,目前成为最重要的互联网基础协议,但TCP协议中也存在一些缺陷。
SYN攻击就是利用TCP协议的缺陷,来导致系统服务停止正常的响应。
SYN攻击原理
TCP在传递数据前需要经过三次握手,SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。
服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次握手建立连接。
由于源IP地址是伪造的不存在主机IP,所以服务器无法收到ACK数据包,并会不断重发,同时backlog队列被不断被攻击的SYN连接占满,导致无法处理正常的连接。
SYN攻击处理
针对SYN攻击的几个环节,提出相应的处理方法:
方式1:减少SYN-ACK数据包的重发次数(默认是5次):
| sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 |
方式2:使用SYN Cookie技术:
| sysctl -w net.ipv4.tcp_syncookies=1 |
方式3:增加backlog队列(默认是1024):
| sysctl -w net.ipv4.tcp_max_syn_backlog=2048 |
方式4:限制SYN并发数:
| iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s |
SYN攻击模拟
可以用之前介绍的hping工具来模拟SYN攻击,参见《Linux常用网络工具:hping高级主机扫描》;
还有一款synkill也可以用来模拟SYN攻击。
使用DDoS deflate脚本自动屏蔽攻击ip
DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP.
DDoS deflate其实是一个Shell脚本,使用netstat和iptables工具,对那些链接数过多的IP进行封锁,能有效防止通用的恶意扫描器,但它并不是真正有效的DDoS防御工具。
DDoS deflate工作过程描述:
同一个IP链接到服务器的连接数到达设置的伐值后,所有超过伐值的IP将被屏蔽,同时把屏蔽的IP写入ignore.ip.list文件
最低0.47元/天 解锁文章
3016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
