防止SYN泛洪攻击 开启路由器的TCP拦截

（转载请告诉原作者）原文地址：点击打开链接

防止SYN泛洪攻击 开启路由器的TCP拦截

intercept，大多数的路由器平台都引用了该功能，其主要作用就是防止SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。我们可以利用路由器的TCP拦截功能，使网络上的主机受到保护(以Cisco路由器为例)。 
　　开启TCP拦截分为三个步骤：

　　1. 设置TCP拦截的工作模式

　　TCP拦截的工作模式分为拦截和监视。在拦截模式下，路由器审核所有的TCP连接，自身的负担加重，所以我们一般让路由器工作在监视模式，监视TCP连接的时间和数目，超出预定值则关闭连接。

　　格式：ip tcp intercept mode (intercept|watch)

　　缺省为intercept

　　2. 设置访问表，以开启需要保护的主机

　　格式：access-list [100-199] [deny|permit] tcp source source-wildcard

　　destination destination-wildcard

　　举例：要保护219.148.150.126这台主机

　　access-list 101 permit tcp any host 219.148.150.126

　　3. 开启TCP拦截

　　ip tcp intercept list access-list-number

　　示例：我们有两台服务器219.148.150.126和219.148.150.125需要进行保护，可以这样配置：

　　ip tcp intercept list 101

　　ip tcp intercept mode watch

　　........

　　ip access-list 101 permit tcp any host 219.148.150.125

　　ip access-list 101 permit tcp any host 219.148.150.126

　　经过这样的配置后，我们的主机就在一定程度上受到了保护。

编辑：林洁珊
--------------------------------------------------------------

主机上的设置

几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

* 关闭不必要的服务

* 限制同时打开的Syn半连接数目

* 缩短Syn半连接的time out 时间

* 及时更新系统补丁 
------------
　　* 关闭不必要的服务；
　　* 将数据包的连接数从缺省值128或512修改为2048或更大，以加长每次处理数据包队列的长度，以缓解和消化更多数据包的连接；
　　* 将连接超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包；
　　* 及时更新系统、安装补丁。

防火墙

* 禁止对主机的非开放服务的访问

* 限制同时打开的SYN最大连接数

* 限制特定IP地址的访问

* 启用防火墙的防DDoS的属性

* 严格限制对外开放的服务器的向外访问

第五项主要是防止自己的服务器被当做工具去害人。

路由器

以Cisco路由器为例

* Cisco Express Forwarding（CEF）

* 使用 unicast reverse-path

* 访问控制列表（ACL）过滤

* 设置SYN数据包流量速率

* 升级版本过低的ISO

* 为路由器建立log server

其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。路由器是网络的核心设备，与大家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup config；而如果不满意想恢复原来的配置，用copy start run就行了。

路由器是网络的核心设备，需要慎重设置，最好修改后，先不保存，以观成效。Cisco路由器有两种配置，startup config和running config，修改的时候改变的是running config，可以让这个配置先运行一段时间，认为可行后再保存配置到startup config；如果不满意想恢复到原来的配置，用copy start run即可。

　　不论防火墙还是路由器都是到外界的接口设备，在进行防DDoS设置的同时，要权衡可能相应牺牲的正常业务的代价，谨慎行事。

-------------------------------------------------------------- 
如何事先预防攻击

　　其实，很多攻击方法并不新，存在时间也很长了（就像DoS），基本上人们对它们已经有所了解，只是当它被有恶意的人利用，破坏网络安全，人们才意识到问题的严重性。因此，人们应充分重视建立完善的安全系统，防患于未然。在具体工作中，我们不妨从以下一些方面预防黑客攻击。

　　1．用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。

　　2．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当Yahoo！被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程，相信没有路由器这道屏障，Yahoo！会受到无法估量的重创。

　　3．使用Inexpress、Express Forwarding过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。

　　4．使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

　　5．过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。

　　6．限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
SYN攻击防范技术

关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。

1、过滤网关防护

这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。

■网关超时设置：防火墙设置SYN转发超时参数（状态检测的防火墙可在状态表里面设置），该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后（SYN＋ACK），防火墙如果在计数器到期时还未收到客户端的确认包（ACK），则往服务器发送RST包，以使服务器从队列中删去该半连接。值得注意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响正常的通讯，设置太大，又会影响防范SYN攻击的效果，必须根据所处的网络应用环境来设置此参数。

■SYN网关：SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。事实上，服务器除了维持半连接队列外，还要有一个连接队列，如果发生SYN攻击时，将使连接队列数目增加，但一般服务器所能承受的连接数量比半连接数量大得多，所以这种方法能有效地减轻对服务器的攻击。

■SYN代理：当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强的防范SYN攻击能力。 
　 
2、加固tcp/ip协议栈

防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。

■SynAttackProtect机制

为防范SYN攻击，win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制，Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Win2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位置增加SynAttackProtect键值：

　　HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

当SynAttackProtect值（如无特别说明，本文提到的注册表键值都为十六进制）为0或不设置时，系统不受SynAttackProtect保护。

当SynAttackProtect值为1时，系统通过减少重传次数和延迟未连接时路由缓冲项（route cache entry）防范SYN攻击。

当SynAttackProtect值为2时（Microsoft推荐使用此值），系统不仅使用backlog队列，还使用附加的半连接指示，以此来处理更多的SYN连接，使用此键值时，tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止。

我们应该知道，平时，系统是不启用SynAttackProtect机制的，仅在检测到SYN攻击时，才启用，并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢？事实上，系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。

TcpMaxHalfOpen 表示能同时处理的最大半连接数，如果超过此值，系统认为正处于SYN攻击中。Win2000　server默认值为100，Win2000　Advanced server为500。

TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数，如果超过此值，系统自动启动SynAttackProtect机制。Win2000　server默认值为80，Win2000 Advanced server为400。

TcpMaxPortsExhausted　是指系统拒绝的SYN请求包的数量，默认是5。

如果想调整以上参数的默认值，可以在注册表里修改（位置与SynAttackProtect相同）

■ SYN cookies技术

我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。

SYN cookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYN　cookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。

在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN＋ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie（回复包的SYN序列号）给客户端， 如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手（注意：此时并不用查看此连接是否属于backlog队列）。

在RedHat linux中，启用SYN cookies是通过在启动环境中设置以下命令来完成：

　　# echo 1 > /proc/sys/net/ipv4/tcp_syncookies

■ 增加最大半连接数

大量的SYN请求导致未连接队列被塞满，使正常的TCP连接无法顺利完成三次握手，通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源，不能被无限的扩大。

WIN2000：除了上面介绍的TcpMaxHalfOpen, TcpMaxHalfOpenRetried参数外，WIN2000操作系统可以通过设置动态backlog(dynamic backlog)来增大系统所能容纳的最大半连接数，配置动态backlog由AFD.SYS驱动完成，AFD.SYS是一种内核级的驱动，用于支持基于window socket的应用程序，比如ftp、telnet等。AFD.SYS在注册表的位置： 
HKLM\System\CurrentControlSet\Services\AFD\ParametersEnableDynamicBacklog值为1时，表示启用动态backlog，可以修改最大半连接数。　

MinimumDynamicBacklog表示半连接队列为单个TCP端囗分配的最小空闲连接数，当该TCP端囗在backlog队列的空闲连接小于此临界值时，系统为此端囗自动启用扩展的空闲连接（DynamicBacklogGrowthDelta），Microsoft推荐该值为20。

MaximumDynamicBacklog是当前活动的半连接和空闲连接的和，当此和超过某个临界值时，系统拒绝SYN包，Microsoft推荐MaximumDynamicBacklog值不得超过2000。

DynamicBacklogGrowthDelta值是指扩展的空闲连接数，此连接数并不计算在MaximumDynamicBacklog内，当半连接队列为某个TCP端囗分配的空闲连接小于MinimumDynamicBacklog时，系统自动分配DynamicBacklogGrowthDelta所定义的空闲连接空间，以使该TCP端囗能处理更多的半连接。Microsoft推荐该值为10。

LINUX：Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat 7.3中，该变量的值默认为256，这个值是远远不够的，一次强度不大的SYN攻击就能使半连接队列占满。我们可以通过以下命令修改此变量的值：

　　# sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

Sun Solaris Sun Solaris用变量tcp_conn_req_max_q0来定义最大半连接数，在Sun Solaris 8中，该值默认为1024，可以通过add命令改变这个值：

　　# ndd -set /dev/tcp tcp_conn_req_max_q0 2048

HP-UX：HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数，在HP-UX　11.00中，该值默认为500，可以通过ndd命令改变默认值：

　　＃ndd -set /dev/tcp tcp_syn_rcvd_max 2048

■缩短超时时间

上文提到，通过增大backlog队列能防范SYN攻击；另外减少超时时间也使系统能处理更多的SYN请求。我们知道，timeout超时时间，也即半连接存活时间，是系统所有重传次数等待的超时时间总和，这个值越大，半连接数占用backlog队列的时间就越长，系统能处理的SYN请求就越少。为缩短超时时间，可以通过缩短重传超时时间（一般是第一次重传超时时间）和减少重传次数来实现。

Win2000第一次重传之前等待时间默认为3秒，为改变此默认值，可以通过修改网络接囗在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions 来定义，注册表的位置是：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters registry key。

当然我们也可以把重传次数设置为0次，这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。

LINUX：Redhat使用变量tcp_synack_retries定义重传次数，其默认值是5次，总超时时间需要3分钟。

Sun Solaris Solaris　默认的重传次数是3次，总超时时间为3分钟，可以通过ndd命令修改这些默认值。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
iptables的设置，引用自CU

防止同步包洪水（Sync Flood） 
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 
也有人写作 
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 
--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改
防止各种端口扫描 
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
Ping洪水攻击（Ping of Death） 
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

　最近，一种被称为“缓存溢出（buffer overflow）”的设计缺陷，正在严重危害着系统的安全，成为比y2k更为头痛的问题。一旦这个缺陷被别有用心的人发现，就会被利用作为非法入侵的一种手段，破坏电脑中的资料。据统计，通过缓存溢出进行的攻击占所有系统攻击总数的80%以上，最近各大网站所遭受的所谓分布式服务拒绝（ddos）式的攻击也是一种利用缓存溢出原理的攻击方式。

　　简单地说，缓存溢出是指一种攻击系统的手段，通过往程序的缓冲区中写入超出其长度的内容造成溢出，从而破坏程序的堆栈，使程序转而执行其它指令，而达到攻击的目的。分布式拒绝服务（ddos）的入侵者采用的是输入很长的字串，将通讯栏等区域填到超过设计的容量，有些多余字串就会被电脑误认为是执行密码，使入侵者有机会进入电脑，而同时系统无法察觉。有报告指出，“缓存溢出”是过去十年发生的非常普遍的电脑安全问题，入侵者可以利用它完全控制电脑。

　　■ 缓存溢出黑客们的惯用伎俩

　　在unix系统中，通过缓存溢出来获得root权限是目前使用得相当普遍的一种黑客技术。事实上这是一个黑客在系统本地已经拥有了一个基本账号后的首选攻击方式。它也被广泛应用于远程攻击，通过对daemon进程的堆栈溢出来实现远程获得rootshell的技术，已经有很多实例。

　　在windows系统中，同样存在着缓存溢出的问题。而且，随着internet的普及，win系列平台上的internet服务程序越来越多，低水平的win程序就成为你系统上的致命伤，因为它们同样会发生远程堆栈溢出。而且，由于win系统使用者和管理者普遍缺乏安全防范意识，一台win系统上的堆栈溢出，如果被恶意利用，将导致整个机器被黑客所控制，进而可能导致整个局域网落入黑客之手。本月初在微软的流行产品iis server4.0中就被发现存在一种被称为“非法htr请求”的缺陷。据微软称，此缺陷在特定情况下会导致任意代码都可以在服务器端运行。但用发现这一漏洞的internet安全公司eeye的ceo firas bushnaq的话说，这只是冰山一角而已。bushnaq说，黑客可以利用这一漏洞对iis服务器进行完全的控制，而实际上许多电子商务站点恰恰是基于这套系统的。

　　■ 黑客如何搅乱缓存

　　下面让我们了解一下缓存溢出的原理。众说周知，c语言不进行数组的边界检查，在许多运用c语言实现的应用程序中，都假定缓冲区的大小是足够的，其容量肯定大于要拷贝的字符串的长度。然而事实并不总是这样，当程序出错或者恶意的用户故意送入一过长的字符串时，便有许多意想不到的事情发生，超过的那部分字符将会覆盖与数组相邻的其他变量的空间，使变量出现不可预料的值。如果碰巧，数组与子程序的返回地址邻近时，便有可能由于超出的一部分字符串覆盖了子程序的返回地址，而使得子程序执行完毕返回时转向了另一个无法预料的地址，使程序的执行流程发生了错误。甚至，由于应用程序访问了不在进程地址空间范围的地址，而使进程发生违例的故障。这种错误其实是编程中常犯的。

　　一个利用缓冲区溢出而企图破坏或非法进入系统的程序通常由如下几个部分组成：

　　1． 准备一段可以调出一个shell的机器码形成的字符串，在下面我们将它称为shellcode。

　　2． 申请一个缓冲区，并将机器码填入缓冲区的低端。

　　3． 估算机器码在堆栈中可能的起始位置，并将这个位置写入缓冲区的高端。这个起始的位置也是我们执行这一程序时需要反复调用的一个参数。

　　4． 将这个缓冲区作为系统一个有缓冲区溢出错误程序的入口参数，并执行这个有错误的程序。

　　通过以上的分析和实例，我们可以看到缓存溢出对系统的安全带来的巨大威胁。在unix系统中，使用一类精心编写的程序，利用suid程序中存在的这种错误可以很轻易地取得系统的超级用户的权限。当服务程序在端口提供服务时，缓冲区溢出程序可以轻易地将这个服务关闭，使得系统的服务在一定的时间内瘫痪，严重的可能使系统立刻宕机，从而变成一种拒绝服务的攻击。这种错误不仅是程序员的错误，系统本身在实现的时候出现的这种错误更多。如今，缓冲区溢出的错误正源源不断地从unix、windows、路由器、网关以及其他的网络设备中被发现，并构成了对系统安全威胁数量最大、程度较大的一类。 
---------------------------------------------------------------

附上我防火墙的一部分.主要是针对ICMP/PING的，不过用处不太大:(

/sbin/iptables -P INPUT DROP 
/sbin/iptables -A INPUT -i lo -p all -j ACCEPT 
/sbin/iptables -A INPUT -i eth1 -p icmp -j ACCEPT 
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP 
/sbin/iptables -A INPUT -s 127.0.0.2 -i lo -j ACCEPT 
/sbin/iptables -A INPUT -s 127.0.0.2 -i eth0 -j DROP 
/sbin/iptables -A INPUT -s $LAN_NET/24 -i eth0 -j DROP 
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j DROP 
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP 
/sbin/iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT/sbin/iptables -A INPUT -i eth0 -p udp -m  

state --state NEW -j REJECT 
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
/sbin/iptables -A INPUT -p tcp -i eth1 --dport 53 -j ACCEPT 
/sbin/iptables -A INPUT -p udp -i eth1 --dport 53 -j ACCEPT 
/sbin/iptables -A INPUT -p tcp -i eth0 -m state --state ESTABLISHED,RELATED -m tcp --dport 1024: -j ACCEPT 
/sbin/iptables -A INPUT -p udp -i eth0 -m state --state ESTABLISHED,RELATED -m udp --dport 1024: -j ACCEPT 
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-level 2 
/sbin/iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP 
/sbin/iptables -A INPUT -p tcp -m multiport --destination-port 135,137,138,139 -j LOG 
/sbin/iptables -A INPUT -p udp -m multiport --destination-port 135,137,138,139 
-j LOG 
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 2000 -j ACCEPT 
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 2001 -j ACCEPT 
/sbin/iptables -A INPUT -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -m tcp --dport 1024: -j ACCEPT 

　　最后，介绍两个当网站遭受DoS攻击导致系统无响应后快速恢复服务的应急办法：

　　* 如有富余的IP资源，可以更换一个新的IP地址，将网站域名指向该新IP；
　　* 停用80端口，使用如81或其它端口提供HTTP服务，将网站域名指向IP：81。

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=286333