Linux性能优化实战 39 :怎么缓解 DDoS 攻击带来的性能下降问题?

最新推荐文章于 2022-10-11 21:42:58 发布
最新推荐文章于 2022-10-11 21:42:58 发布
阅读量316 收藏 2
点赞数
分类专栏: 网络 linux
linux 同时被 2 个专栏收录
35 篇文章 3 订阅
订阅专栏
网络
18 篇文章 0 订阅
订阅专栏

一、模拟DDOS攻击

      运行 hping3 命令

      

       如果现象不明显,那么把参数里面的 u10 调小,或者加上–flood 选项;

 

二、确认DDOS攻击

1. 执行命令变慢,正常客户端的连接超时了,并没有收到 Nginx 服务的响应。

2. sar命令查看网络收发状况

  接收的 PPS 已经达到了 20000 多,但是 BPS 却只有 1174 kB,这样每个包的大小就只有54B(1174*1024/22274=54)。

  这明显就是个小包了

3. tcpdump 抓包极客时间

Flags [S] 表示这是一个 SYN 包。大量的 SYN 包表明,这是一个 SYN Flood 攻击。

 

三、缓解DDOS

1.  封IP

(1) DDOS是客户端发送了SYN包,但不发送ACK包。这时服务端处于SYN_RECEIVED 状态。

(2) 用 netstat 命令查看

    

    确认IP是192.168.0.2

(3) 使用iptables限制IP

 

2. 限制SYN并发和连接数

     SYN Flood 攻击中的源 IP 并不是固定的。比如,可以在 hping3 命令中,加入 --rand-source 选项,来随机化源 IP。这时上面1的方法就不适用了。

    这时可使用下面的方法来限制syn 包的速率:

    # 限制 syn 并发数为每秒 1 次
    $ iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    # 限制单个 IP 在 60 秒新建立的连接数为 10
    $ iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT


3. 加大半连接容量

    如果是多台机器同时发送 SYN Flood,这种方法就无效了。

    这时可使用下面的方法:

(1) 加大半连接容量,从256改成1024

$ sysctl -w net.ipv4.tcp_max_syn_backlog=1024
net.ipv4.tcp_max_syn_backlog = 1024

(2) 减少重试次数,从5改为1

$ sysctl -w net.ipv4.tcp_synack_retries=1
net.ipv4.tcp_synack_retries = 1
 

4. 直接不维护半连接队列

如果情况继续严重,就开启 SYN Cookies ,不需要维护半开连接状态了

$ sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1

为了保证配置持久化,你还应该把这些配置,写入 /etc/sysctl.conf 文件中。

$ cat /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_max_syn_backlog = 1024

 

5. 外围设备的防护措施

购置专业的入侵检测和防御设备,配置流量清洗设备阻断恶意流量等。

 

 

LyndonZheng
关注
专栏目录
性能零售IT系统的建设05-从0打造一个每秒万级并发的互联网交易系统的技术全架构
lifetragedy的专栏
10-13 3248
亿万级的流量、每秒万级的并发的大型零售商超金融类应用如何设计与架构?如何面对汹涌的流量?本篇以全景式架构设计展示并结合一个个生产实例带你一步步深入了解如何应对大规模的高并发高流量的业务场景系统架构之美。
边缘计算与端侧推理原理与代码实战案例讲解【系列文章】
最新发布
AI天才研究院
07-04 1742
在当今数字化时代,随着物联网(IoT)设备的普及和人工智能技术的快速发展,传统的云计算模式面临着诸多挑战。数据传输延迟、网络带宽压力、隐私安全concerns等问题日益突出。为了解决这些问题,边缘计算和端侧推理技术应运而生,成为了现代计算架构中不可或缺的组成部分。边缘计算将计算能力下沉到靠近数据源的网络边缘,而端侧推理则直接在终端设备上进行AI模型的推理。这两种技术的结合不仅能够大幅降低数据传输延迟,提高实时性能,还能有效保护用户隐私,优化网络资源使用。
怎么缓解 DDoS 攻击带来性能下降问题
zhanglu0302的博客
08-04 301
本文是通过学习倪朋飞老师的《Linux性能优化实战》 :怎么缓解 DDoS 攻击带来性能下降问题? 怎么缓解 DDoS 攻击带来性能下降问题DDoS 简介 DDoS 简介 DDoS 的前身是 DoS(Denail of Service),即拒绝服务攻击,指利用大量的合理请求, 来占用过多的目标资源,从而使目标服务无法响应正常请求。 DDoS(Distributed Denial of Service) 则是在 DoS 的基础上,采用了分布式架构,利用多台主机同时攻击目标主机。这样,即使目标服务部署.
一次Linux系统攻击的分析过程
靠谱运维
09-19 919
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootki
linuxDDoS
chonglianguang7366的博客
05-03 141
Linux系统防火墙功能抵御网络攻击 虚拟主机服务商在运营过程中可能受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间 比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux系统本身提供...
linux下防DDOS工具
Richardlygo的博客
03-10 1811
防止别人攻击是一件令人头疼的事情。程序上的问题由开发的人员去处理,作为系统管理人员服务器的安全和可用是要考虑的,ddos的工具是首要必须考虑防御的。于是考虑使用ddos deflate这个开源软件。 DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限 制时,该程序通过APF或IPTABLES...
让子弹多飞一:论如何优化DDoS
weixin_34208283的博客
07-03 73
假设1枚炮弹击中目标的伤害为10,而4枚炮弹同时击中目标的伤害为200。现在我方只有一门火炮,4枚炮弹。此火炮每次只能发射一枚炮弹。问如何操作可以使其伤害达到200? 答案是”让子弹多飞一儿”,不过这个回答不是来自姜文的电影,而是源于美军在二战中提出的 MRSI (Multiple Rounds Simultaneous Impact)技术,粗糙的翻译...
无线网络渗透测试实战:Kali Linux权威教程
[无线网络渗透测试实战:Kali Linux权威教程](https://img-blog.csdnimg.cn/5dc071d159154a6688d104f549a345e3.png) # 1. 无线网络渗透测试基础 在当今的数字化时代,无线网络已经成为人们日常生活中不可或缺的一...
Linux性能优化方案
悦分享
08-14 2424
在优化网络的性能时,我们可以结合 Linux 系统的网络协议栈和网络收发流程,从应用程序、套接字、传输层、网络层再到链路层等,对每个层次进行逐层优化。实际上,我们分析和定位网络瓶颈,也是基于这些网络层进行的。而定位出网络性能瓶颈后,我们就可以根据瓶颈所在的协议层,进行优化。具体而言:在应用程序中,主要是优化 I/O 模型、工作模型以及应用层的网络协议;在套接字层中,主要是优化套接字的缓冲区大小;在传输层中,主要是优化 TCP 和 UDP 协议;...
面试必备(背)-Linux八股文系列!
weixin_70730532的博客
08-26 1813
Linux 系统的核心是内核。内核控制着计算机系统上的所有硬件和软件,在必要时分配硬件,并根据需要执行软件。系统内存管理应用程序管理硬件设备管理文件系统管理CLI:命令行界面(command-line interface,简称 CLI)是在图形用户界面得到普及之前使用最为广泛的用户界面。GUI:图形用户界面(Graphical User Interface,简称 GUI,又称图形用户接口)是指采用图形方式显示的计算机操作用户界面。...
优化 DDoS 弹性测试的三大策略
zy18165754120的博客
12-27 505
网络安全旨在保护计算机系统和网络免受分布式拒绝服务(DDoS)等攻击的盗窃、损坏和服务中断。DDoS 攻击的工作原理是通过大量互联网流量淹没目标或其周围基础设施,从而使目标网站或在线服务脱机。 尽管 DDoS 攻击已经存在 20 多年,但它们仍然是一个移动目标,因为网络犯罪分子经常发现新的攻击媒介和技术并将其武器化,包括: 以多向量攻击的形式同时发起不同类型的攻击,例如容量攻击、TCP 状态耗尽攻击和应用层攻击,每个攻击都有唯一的签名。 使用不同的僵尸网络来改变攻击源并在被阻止的 IP 地址之前...
Linux性能优化-缓解DDoS攻击带来性能下降问题
hixiaoxiaoniao的专栏
02-20 514
缓解DDoS攻击带来性能下降问题
Linux下防御或减轻DDOS攻击方法
幽静的麦田
07-15 1383
今天上午服务器被ddos攻击,还好对方只是使用了一台电脑,没有搞成千上万个木马来,要不然那服务器直接就垮了。在网上找了教程,成功解决。于是把本次防御ddos的方法记录一下了。 查看攻击IP 首先使用以下代码,找出攻击者IP netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 将
kali从入门到入狱之使用Hping3进行DDos攻击
qq_56418482的博客
10-11 4519
显示hping in flood mode, no replies will be shown,就说明洪水模式开始了,洪水模式不返回状态。
Linux下防止ddos攻击(原创)
czmmiao的专栏
08-02 1309
前言 虚拟主机服务商在运营过程中可能受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux 系统本身提供的防火墙功能来防御。SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻...
hping3 使用详解
热门推荐
swartz_lubel的专栏
02-11 1万+
hping是面向命令行的用于生成和解析TCP/IP协议数据包汇编/分析的开源工具。作者是Salvatore Sanfilippo,界面灵感来自ping(8)unix命令,目前最新版是hping3,它支持TCP,UDP,ICMP和RAW-IP协议,具有跟踪路由模式,能够在覆盖的信道之间发送文件以及许多其他功能,支持使用tcl脚本自动化地调用其API。hping是安全审计、防火墙测试等工作的标配工具。...
LinuxDDOS及CC攻击解决方案
mager的专栏
05-07 1196
LinuxDDOS及CC攻击解决方案 2014-06-29 20:34 1347 0 发表评论 背景 现在DDOS攻击越来越频繁,无需什么技术即可就行DDOS拒绝服务经常一些站长反映自己的网站经常出现mysql 1040错误,他的在线用户才不到一千,mysql配置也没问题。一般遇到这站情况就需注意了,你的网站可能被CC攻击了。解决方案及思路CC攻击防御措施,鉴于系统是centos,运行了下...
hping3对某网站发起ddos攻击
huangbaokang的博客
11-09 8815
hping3 -S --flood --rand-source -p 80 localhost 先来解释一下这条命令 -S 表示发送的是SYN包。 这里涉及到TCP的三次握手,客户端与服务器要建立连接,首先要先由客户端向发服务器发送一个SYN包请求连接,服务器收到客户端发来的SYN包后回复一个SYN+ACK包表示可以进行连接,之后客户端再发送一个SYN+ACK包,当这个包发送完成之后,客...
shell 脚本解决DDOS攻击
CoLiuRs
06-19 2706
思路:主要利用 awk ,if结构,sort,uniq #!/bin/bash FilePath="access.log" awk '{print $1}' $FilePath | sort -rn | uniq -c >ip_count.log cat ip_count.log | while read text    ####读取文件内容,以行为单位 do echo $te
自建CDN策略:抵御DDoS攻击实战经验
DDoS攻击主要包括延缓性的CC攻击和大流量攻击,这两种攻击方式各有特点并需要针对性的防御策略。 一、延缓性CC攻击 这种攻击利用大量的代理服务器IP发送合法请求,逐渐消耗服务器资源,导致网站变慢甚至无法访问。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值