使用iptables应对SYN攻击、CC攻击、ACK攻击

最新推荐文章于 2023-12-12 09:39:29 发布
转载 最新推荐文章于 2023-12-12 09:39:29 发布 · 2.8k 阅读 · 10 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/463023
文章标签:

#网络 #开发工具 #操作系统

本文介绍了TCP/IP的三次握手原理,并详细探讨了SYN、CC、ACK攻击的防御策略,包括修改等待队列大小、启用syncookies、限制并发连接数、使用iptables规则等方法,旨在提升网络服务的安全性和稳定性。

1、前言

笔者想总结一些应对常见的网络攻击的方法,特参阅网络上的文档,以便整理出一套可以应对SYN、CC、ACK等攻击的方案。

2、理论基础

2.1、TCP/IP的三次握手理论

TCP/IP协议使用三次握手来建立连接,过程如下:

1)第一次握手,客户端发送数据包syn到服务器,并进入SYN_SEND状态,等待回复

2)第二次握手,服务器发送数据报syn/ack,给客户机,并进入SYN_RECV状态,等待回复

3)第三次握手,客户端发送数据包ACK给客户机,发送完成后,客户端和服务器进入ESTABLISHED状态,链接建立完成

2.2、TCP/IP三次握手服务器过程分析

1)三次握手协议中服务器维护一个等待队列

2)收到一个syn包就在队列中建立一个条目,并分配一定的资源

3)对应的每一个条目表示已经收到一个syn请求,并已经回复syn/ack

4)服务器上对应的连接已经进入SYN_RECV状态,等待客户端响应

5)收到客户端的响应包以后,该连接进入 ESTABLISHED状态,队列中对应的条目被删除。

2.3、TCP/IP三次握手相关参数

2.3.1、backlog

1)参数的作用:

设定等待队列的最大数目。

2)对应内核参数:

1
net.ipv4.tcp_max_syn_backlog = 1024

2.3.2、syn-ack

1)参数的作用:

重传次数,服务器发送syn/ack包,如果没有收到客户端的相应,就会重传syn/ack,超过一定时间之后会进行第二次重传,超过设定 次数以后将该条目从队列中删除。每次重传的间隔时间并不确定。

2)对应内核参数:

1
net.ipv4.tcp_synack_retries = 5

2.3.3、syn

1)参数的作用:

重传次数,概念和syn/ack重传次数类似

2)对应内核参数:

net.ipv4.tcp_syn_retries = 5

2.3.4、等待存活时间

指等待队列的条目存活时间,即从服务器收到syn包到确认这个包无效的最长时间,该时间是所有重传包请求的最长等待时间。

3、攻击类型与防御

3.1、DDOS攻击

3.1.1、DDOS攻击的概念

DDOS攻击又称流量攻击

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。

3.1.2、一般的DDOS解决方法

1)设置方法1

vim编辑/proc/sys/net/ipv4/tcp_max_syn_backlog

最低0.47元/天 解锁文章
巧用iptables五招免费搞定SYN洪水攻击
qq_40907977的博客
05-18 1090
转载来源 :巧用iptables五招免费搞定SYN洪水攻击 :https://www.toutiao.com/i6772397997692027399/ 摘要: SYN Flood是种典型的DoS攻击,属于DDos攻击的一种;遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对 … SYN Flood介绍 SYN
什么是SYN攻击?深入解析TCP协议中的“握手陷阱“
qq_40891345的博客
04-15 759
SYN攻击作为经典的网络攻击,至今仍在DDoS攻击中占较大比例。防御需要组合使用协议层优化、流量清洗、基础设施扩容等多种手段。对于开发者来说,理解其原理是设计高可用系统的必备知识。拓展阅读TCP协议SYNSYN泛洪攻击
利用Netfilter /iptables抗御 SYN Flood攻击方法研究 (2007年)
04-27
SYN Flood攻击是目前最流行的 DOS/DDOS攻击手段。首先介绍 Linux环境下 SYN Flood攻击 的检测方法和防范手段,重点分析基于 Netfilter/iptables的动态包过滤机制抗御 SYN Flood攻击的 原理,然后提出一种iptables与入侵检测系统( IDS)的集成解决方案,采用文件作为数据传递的载体 并通过 shell脚本编程实现。试验结果表明,该方法可以有效抵御 SYN Flood攻击
TCP 三步握手(SYNSYN-ACKACK)与SYN攻击
殷阳的博客
06-14 7741
SYN 攻击指的是,利用TCP三步握手,攻击客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认。由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,导致目标系统运行缓慢,严重者会引起网络堵塞甚至系统瘫痪。
DDoS攻击--Syn_Ack/Ack_Flood等攻击防护详解(TCP)
热门推荐
一只IT小小鸟
08-22 1万+
前言 Syn_Ack/Ack_Flood攻击属于TCP攻击,在了解Syn_Ack/Ack_Flood攻击之前,可以先看看TCP攻击详解。 Syn_Ack Flood 攻击: syn_ack报文出现在连接建立的第2个报文,用来确认第一次握手的syn包。 当服务器收到syn_ack报文后会在系统里查询是否属于3次握手的范畴。如果属于则回复ack,并将连接设为连接状态。若没有查到相关信息,则回复...
linux iptables 防止 syn ddos ping 等 攻击
【水能凝冰,冰自坚】的专栏
04-24 2337
Linux iptables 防止 syn ddos ping 等 攻击 时间:2010-12-10 12:02来源:未知 作者:admin 点击:633次 先来一个自己用的实例: 配置防火墙防止syn,ddos攻击 [root@m176com ~]# vim /etc/sysconfig/iptablesiptables中加入下面几行 #anti syn,ddos -A FO
【DDOS】巧用iptables 几招搞定 SYN洪水攻击
Enweitech Software Works
04-25 4932
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击,属于DDos攻击的一种。遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。今天小编将详述这种攻击原理以及对抗SYN洪水的方法~ ...
利用iptables缓解TCP SYN攻击
yangrendong的专栏
08-23 805
SYN洪水攻击是DDOS攻击中最常见的攻击类型之一,是一种利用TCP 协议缺陷,攻击者向被攻击的主机发送大量伪造的TCP连接请求,从而使得被攻击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的攻击方式。SYN攻击的目标不止于服务器,任何网络设备,都可能会受到这种攻击,针对网络设备的SYN攻击往往会导致整个网络瘫痪。企业遭到SYN攻击该如何防御呢?今天就来分享一下如何利用ipt...
网络安全——Iptables防DDoS攻击实验
网络工程
12-12 2885
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
SYN攻击原理以及防范技术
浮生一梦
03-23 6520
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。   一、TCP握手协议   在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手
Linux iptables 防止 syn ddos ping 等 攻击
痴迷无限好
06-25 386
[url]http://blog.sina.com.cn/s/blog_5a140b930100z9pt.html[/url] 配置防火墙防止syn,ddos攻击 [root@m176com ~]# vim /etc/sysconfig/iptablesiptables中加入下面几行 #anti syn,ddos -A FORWARD -p tcp --syn -m li...
iptables用来防御flood攻击的命令_教你如何在Linux中防止SYN Flood攻击
weixin_39769675的博客
11-25 864
SYN泛洪攻击(SYN Flood)是指使用不完善的TCP/IP三次握手,恶意发送大量只包含SYN握手序列的数据包的攻击方法。这种攻击方法可能会导致被攻击的计算机拒绝服务甚至崩溃,从而使潜在的连接占用大量的系统资源,无法完成三次手。如果您遭受SYN洪水攻击下的Linux服务器,您可以设置以下:减少SYN-超时时间:iptables-AFORWARD-ptcp–syn-mli...
服务器遭到SYN攻击怎么办?如何防御SYN攻击
weixin_33682719的博客
11-15 806
SYN洪水攻击是DDOS攻击中最常见的攻击类型之一。是一种利用TCP 协议缺陷,攻击者向被攻击的主机发送大量伪造的TCP连接请求,从而使得被攻击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的攻击方式。SYN攻击的目标不止于服务器,任何网络设备,都可能会受到这种攻击,针对网络设备的SYN攻击往往会导致整个网络瘫痪。企业遭到SYN攻击该如何防御呢?墨...
linux仿ping攻击,linux 下 iptables 防止 syn ddos ping 等 攻击
weixin_39807352的博客
05-13 411
先来一个自己用的实例:配置防火墙防止syn,ddos攻击[root@m176com ~]# vim /etc/sysconfig/iptablesiptables中加入下面几行#anti syn,ddos-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -jACCEPT-A FORWARD -p tcp --tcp-flag...
linux防火墙防御攻击,linux 防御SYN攻击
weixin_31083901的博客
05-12 546
文章目录[隐藏]一、默认syn配置二、修改syn配置三、添加防火墙规则四、添加开机启动一、默认syn配置sysctl -a | grep _syn net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries =...
iptables攻击
aoli_shuai的博客
01-11 654
iptables 防止cc攻击 connlimit模块 作用:限制每一个客户端ip的并发连接数 参数:–connlimit-above n #限制并发个数 使用iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT limit 模块 作用:限速,控制流量 参数:–limit-b...
SYN攻击/ACK攻击/半/全连接队列
weixin_61360713的博客
08-31 910
本文主要讲述:半/全连接队列是什么,有什么作用?半/全连接队列的数据结构是什么?SYN攻击导致半连接队列满了怎么办?如何避免SYN攻击?为什么不使用syncookies取代半连接队列与ACK攻击
linux中使用Iptables预防黑客攻击
记事本
02-13 1391
攻击的形式多种多样,在这里介绍最为常见的SYN_RECV,遇到攻击的不要着急,小量的SYN_RECV很容易防止的 1.对于大量的 SYN_RECV  若怀疑是SYN Flood攻击,有以下建议: 这个攻击的解决方法如下:  (1)增加未完成连接队列(q0)的最大长度。  echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
半连接队列和SYN攻击的关系
最新发布
06-03
<think>好的,用户想了解半连接队列与SYN攻击之间的关系以及可能的防御机制。首先,我需要回忆半连接队列在TCP三次握手过程中的作用。当服务器收到SYN包时,会创建条目放入半连接队列,然后发送SYN-ACK。此时连接处于SYN_RECEIVED状态。如果客户端不回复ACK,连接会一直留在半连接队列中,直到超时。SYN Flood攻击就是利用这一点,发送大量伪造的SYN包,但不回复ACK,导致半连接队列被占满,无法处理新的连接请求。这时候正常的用户就无法连接服务器了。接下来要考虑防御机制。常见的包括调整队列大小,比如tcp_max_syn_backlog,但可能不够。然后是开启tcp_syncookies,这样在队列满时使用SYNCookie技术,不存储连接信息,而是通过计算生成Cookie值,验证后续的ACK包。这样可以避免队列溢出。另外,还有缩短SYN-ACK重试次数和超时时间,减少资源占用时间。比如tcp_synack_retries和tcp_syn_retries参数。还有使用连接速率限制,如限制同一IP的连接频率,防止单个IP发起过多请求。 可能还需要引用提供的资料,比如引用[1]提到的队列满时的丢弃条件,引用[3]中的攻击原理和防御手段。要确保将这些知识点串联起来,用用户能理解的语言解释清楚关系和防御方法。 最后,生成相关问题,比如SYN攻击如何影响服务器,如何配置参数,SYN Cookie的原理,以及与其他攻击的区别。这样用户如果有进一步的问题,可以继续探索。</think>### 半连接队列与SYN攻击的关系及防御机制 #### 一、半连接队列的作用 在TCP三次握手过程中,当服务器收到客户端的$SYN$包后,会创建**半连接条目**存入**半连接队列**(SYN队列),并发送$SYN+ACK$包。此时连接状态为$SYN\_RECEIVED$,等待客户端回复$ACK$。若客户端未响应,连接会在此队列中保留直到超时(默认约$60$秒)[^1]。 #### 二、SYN Flood攻击原理 攻击者通过伪造大量不同源IP的$SYN$包发送至服务器: 1. 服务器为每个$SYN$包分配资源,导致**半连接队列被占满**; 2. 真实客户端因队列满被拒绝服务; 3. 攻击者不回复$ACK$,使服务器持续重传$SYN+ACK$包(默认重试$5$次),进一步消耗资源[^3]。 $$ \text{攻击效果} = \frac{\text{伪造SYN包数量}}{\text{服务器处理能力}} \times \text{超时时间} $$ #### 三、防御机制 1. **调整队列参数** - 增大半连接队列上限:修改`tcp_max_syn_backlog`(Linux默认$1024$); - 优化全连接队列:通过`somaxconn`参数控制[^1]。 2. **启用SYN Cookie** - 当半连接队列满时,服务器通过哈希算法生成$SYN$序列号(Cookie),不存储连接状态; - 收到$ACK$包后验证Cookie合法性,合法则建立连接[^1][^3]。 3. **缩短超时时间** ```bash # 减少SYN+ACK重试次数(默认5次→2次) echo 2 > /proc/sys/net/ipv4/tcp_synack_retries # 降低SYN包重传次数 echo 2 > /proc/sys/net/ipv4/tcp_syn_retries ``` 4. **流量过滤与限速** - 部署防火墙识别异常$SYN$包频率; - 使用`iptables`限制单个IP的并发连接数: ```bash iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT ``` #### 四、典型场景分析 若服务器未开启SYN Cookie且半连接队列满,新$SYN$包会被直接丢弃[^1]。通过组合队列扩容、SYN Cookie和流量控制,可有效缓解攻击。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值