Linux安全之SYN攻击原理及其应对措施

最新推荐文章于 2024-04-06 13:46:56 发布
最新推荐文章于 2024-04-06 13:46:56 发布
阅读量645 收藏 1
点赞数
分类专栏: 防火墙知识 linux基础 文章标签: linux syn攻击 服务器 安全

一、SYN攻击原理
这里写图片描述
TCP在传递数据前需要经过三次握手,SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。

服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次握手建立连接。

由于源IP地址是伪造的不存在主机IP,所以服务器无法收到ACK数据包,并会不断重发,同时backlog队列被不断被攻击的SYN连接占满,导致无法处理正常的连接。

二、SYN攻击的应对措施
1、减少SYN-ACK数据包的重发次数(默认是5次):

net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_syn_retries=3

2、使用SYN Cookie技术

net.ipv4.tcp_syncookies=1
#此参数是为了防止洪水攻击的,但对于大并发系统,要禁用此设置,即net.ipv4.tcp_syncookies = 0

3、增加backlog队列(默认是512或者1024):

net.ipv4.tcp_max_syn_backlog=4096
#参数决定了SYN_RECV状态队列的数量,一般默认值为512或者1024,即超过这个数量,系统将不再接受新的TCP连接请求,一定程度上可以防止系统资源耗尽。

4、限制SYN并发数:

iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT –limit 1/s

三、加固TCP/IP协议

#将以下内容加到/etc/sysctl.conf配置文件中,保存,使用 "sysctl -p" 生效
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.secure_redirects = 0

net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_ignore=1    #应答进行控制
net.ipv4.conf.all.arp_announce=2  #回应限制
net.ipv4.conf.lo.arp_ignore=1     
net.ipv4.conf.lo.arp_announce=2

四、大并发下内核参数设置

net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_max_syn_backlog=4096   #这个值根据自己网站情况设定

#参数决定是否加速TIME_WAIT的sockets的回收,默认为0。
net.ipv4.tcp_tw_recycle

#参数决定是否可将TIME_WAIT状态的sockets用于新的TCP连接,默认为0。
net.ipv4.tcp_tw_reuse

#参数决定TIME_WAIT状态的sockets总数量,可根据连接数和系统资源需要进行设置。
net.ipv4.tcp_max_tw_buckets
7*24 工作者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYN攻击/ACK攻击/半/全连接队列
weixin_61360713的博客
08-31 591
本文主要讲述:半/全连接队列是什么,有什么作用?半/全连接队列的数据结构是什么?SYN攻击导致半连接队列满了怎么办?如何避免SYN攻击?为什么不使用syncookies取代半连接队列与ACK攻击
请你谈谈Server端受到SYN攻击?为什么Client在TIME-WAIT状态必须等待2MSL的时间?
一个搬砖工人
04-16 297
1Server端受到SYN攻击服务器端的资源分配是在二次握手时分配的,而客户端的资源是在完成三次握手时分配的,所以服务器受到SYN洪泛攻击SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server则回复确认包,并等待Client确认,由于源地址不存在,因此Server需要不断重发直至超时,这些伪造的SYN包将长时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络拥塞甚至系统瘫痪。 防范SYN攻击措施:降低主机的等待时间使主机
网络编程小结
雾角
08-01 219
参考总结了:https://blog.nowcoder.net/zhuanlan/3m2ONj 侵删 基本OSI7层结构模型 物理层 网络设备的机械特性,电气特性,功能特性 数据通讯的基础 数字信号 模拟信号 频分多路复用 时分多路复用 数据链路层 封装成帧 透明封装 无差错接收 点到点线路的数据链路层PPP 广播信道的数据链路层 以太网 : 集线器 网桥 交换机 网络层 负责在不同网路之间尽力转发数据包,基于数据包Ip地址传输。不负责数据丢失,数据包的顺序也不负责 网络设备和OSI参考模
TCP三次握手详解和SYN攻击
Dachao0707的博客
01-04 1799
有很多三次握手的文章,我觉得讲的都比较不容懂,有点冗杂,下面我来总结一下。   三次握手的过程: 说到三次握手,大家肯定都会用这张图,我这里也用这张图了,下面来看看这个过程: 第一次握手:client首先发送SYNSynchronization)报文给server,此时,client进入SYN_SENT状态,等待server端确认;注:SYN报文的特点:SYN标识位置1,随机产生一...
什么是 SYN 攻击?如何避免 SYN 攻击
Hoshea_sun的博客
03-27 2138
SYN 攻击方式最直接的表现就会把 TCP 半连接队列打满,这样,导致客户端无法和服务端建立连接。方式一:调大 netdev_max_backlog当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。控制该队列的最大值如下参数,默认值是 1000,我们要适当调大该参数的值,比如设置为 10000方式二:增大 TCP 半连接队列方式三:开启 net.ipv4.tcp_syncookiescookieaccpet()
linux 服务器 syn*** 大量SYN_RECV状态处理
weixin_34162401的博客
11-13 900
1、查看连接状态netstat -nat | awk '/^tcp/{++S[$NF]}END{for (a in S) print a,S[a]}'SYN_RECV表示正在等待处理的请求数;ESTABLISHED表示正常数据传输状态;TIME_WAIT表示处理完毕,等待超时结束的请求数。状态:描述CLOSED:无连接是活动的或正在进行LISTEN:服务器在等待进入呼叫SYN...
Linux安全SYN攻击原理及处理
01-09
 TCP在传递数据前需要经过三次握手,SYN攻击原理是向服务器发送SYN数据包,并伪造源IP地址。  服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次...
Linux下基于SYN Cookie的防SYN Flood攻击的实现与改进.pdf
09-06
本文主要介绍了SYN Flood攻击原理SYN Cookie的实现机制,以及在Linux 2.6内核下的实现与改进。 SYN Flood攻击原理 ---------------- SYN Flood攻击是DoS攻击的一种,它利用了TCP协议的三次握手机制对服务器...
TCP协议的SYN Flood攻击原理详细讲解
10-09
TCP协议的SYN Flood攻击是网络层的一种拒绝服务(DDoS)攻击手段,它通过大量伪造的SYN请求,使目标服务器陷入...防御这些攻击同样需要对TCP协议有深入理解,并采取相应的防护措施,以保障网络服务的稳定性和安全性。
SYN Cookie原理及在Linux内核中的实现
03-04
由于SYN Flood攻击的广泛性和危害性,防御措施显得至关重要,其中SYN Cookie技术是有效的应对策略之一。 SYN Cookie的原理是在TCP服务器接收到SYN包时,不立即为连接分配资源,而是生成一个基于SYN包信息的cookie值...
Linux下大量SYN_SENT连接问题的解决方法
09-15
主要介绍了Linux下大量SYN_SENT连接问题的解决方法,需要的朋友可以参考下
什么是SYN攻击,有什么办法防御SYN攻击
dexunyun的博客
04-06 2215
在一个SYN Flood攻击中,攻击者发送大量伪造的TCP连接请求(SYN数据包),使得目标服务器不断响应这些请求并且维护TCP连接,最终导致服务器资源耗尽无法响应合法的连接请求从而实现拒绝服务攻击。1、高防服务器:高防服务器配有专门定制的硬件防火墙,通过拦截恶意流量手段来有效防御SYN Flood攻击,同时,可以在防火墙上设置SYN转发超时参数,使其远小于服务器的timeout时间,从而及时丢弃无效的SYN请求,有效地阻挡来自恶意IP地址的SYN包。因此,延缓TCB的分配可以有效地减轻服务器资源的消耗。
TCP三次握手,四次挥手
weixin_34088583的博客
07-10 74
参考文章,感谢原博主的分享与总结; https://blog.csdn.net/qzcsu/article/details/72861891 https://www.cnblogs.com/Andya/p/7272462.html https://blog.csdn.net/hacker00011000/article/details/52319111 为什...
Linux内核参数调优以应对SYN攻击
永远是少年
07-15 1313
今天继续给大家介绍Linux运维相关知识,本文主要内容是Linux内核参数调优以应对SYN攻击。 一、SYN攻击简介 二、相关内核参数简介 三、最终配置
ARP攻击SYN攻击
一只老风铃
08-22 398
SYN攻击 拒绝服务攻击DOS以及分布式拒绝服务攻击DDOS是利用短时间内占用服务器大量得内存、网络、存储等资源,使得正常访问者无法访问。 而SYN攻击是利用TCP三次握手的漏洞,攻击者发起大量的SYN握手包然后不再回应,使得服务器存在大量处于SYN_Recv状态的半连接,消耗服务器资源。 SYN泛滥的实现细节 攻击者伪造建立链接的TCP握手报文,需要在外层填充自己的IP地址: 需要随机填充那些无法访问的IP源地址 如果采取自身的IP地址进行填充,那么会暴露,另外,填充的IP地址如果是其它真
针对TCP SYN洪泛攻击的防御
mypop的专栏
01-27 4367
<br />尽管这种攻击已经出现了十四年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。你可以在如今的操作系统和设备中找到保护应用层和网络层的不同解决方案的不同实现。本篇论文详细描述这种攻击并展望和评估现在应用于终端主机和网络设备的对抗SYN洪泛方法。<br /><br />1 基本的漏洞<br />SYN洪泛攻击首次出现在1996年。当时Phrack杂志中描述了这种攻击并用代码实现了它[1]。这些信息被迅速应用于攻击一个网络服务提供商(IS
服务器上出现大量的SYN_RCVD状态的TCP连接的问题分析
dzhwang的博客
11-21 5451
        首先我们需要弄清楚SYN_RCVD状态是怎样产生的,通过TCP状态转换图(如下图)我们可以清楚的看到,SYN_RCVD是TCP三次握手的中间状态,是服务端口(监听端口,如应用服务器的80端口)收到SYN包并发送[SYN,ACK]包后所处的状态。这时如果再收到ACK的包,就完成了三次握手,建立起TCP连接。       如果服务器上出现大量的SYN_RCVD状态的TCP连接说明...
面试问题之计算机网络:TCP三次握手四次挥手
weixin_30734435的博客
09-03 148
转载于:https://www.cnblogs.com/Andya/p/7272462.html TCP三次握手:   起初A和B都处于CLOSED关闭状态   B创建TCB,处于LISTEN收听状态,等待A请求   第一次握手:A创建TCB,发送连接请求,进入SYN-SENT同步已发送状态   第二次握手:B收到连接请求,向A发送确认和连接请求,进入SYN-RCVD同步收到状...
三次握手、四次挥手
qq_43604517的博客
08-20 342
转载 TCP的报头 1.源端口号:表示发送端端口号; 2.目标端口号:表示接收端端口号; 3.序列号seq:表示发送数据的位置,字段长为32位(4字节)。每发送一次数据,就累加一次该数据字节数的大小。 注意:序列号不会从0或1开始,而是在建立连接时由计算机生成的一个随机数作为其初始值,通过SYN包发送给接收端主机。然后再将每转发过去的字节数累加到初始值上表示数据的位置。 由于TCP是面向字节流的,在一个TCP连接中传送字节流中的每一个字节都按照顺序编号,此外序号是循环使用的。 用来标记数据段的顺序,TCP
SYN flood攻击原理
最新发布
05-26
为了应对SYN flood攻击,可以采取以下措施: 1. 配置防火墙:在防火墙上配置过滤规则,对于大量的伪造IP地址和端口的请求进行过滤。 2. 调整TCP协议参数:通过调整TCP协议参数,如缩短超时时间,增加连接队列长度等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值