SYN攻击
原理:TCP连接建立需要三次握手,假设攻击者短时间伪造不同IP地址的SYN报文,服务端每接收到一个SYN报文,就进入SYN_RCVD状态,但服务端发送出去的ACK + SYN 报文,无法得到未知IP主机的ACK应答,久而久之就会占满服务端的SYN接收队列(未连接队列),使得服务器不能为正常用户服务。
避免SYN攻击方式一:
当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。控制该队列的最大值如下参数“
net.core.netdev_max_backlog
SYN_RCVD 状态连接的最大个数:
net.ipv4.tcp_max_syn_backlog
超出处理能时,对新的SYN直接回报RST,丢弃连接
net.ipv4.tcp_abort_on_overflow
避免SYN攻击方式二
先来看下 Linux 内核的 SYN (未完成连接建立)队列与 Accpet (已完成连接建立)队列是如
何工作的?
应用程序过慢:
如果应用程序过慢时,就会导致「 Accept 队列」被占满。
tcp_syncookies 的方式可以应对 SYN 攻击的方法: