Linux服务器下对SYN洪水攻击的诊断和阻挡
<p><strong>1.简介<br /></strong>SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。</p><p>详细的原理,网上有很多介绍,应对办法也很多,但大部分没什么效果,这里介绍我们是如何诊断和应对的。</p>
<p><strong>2. 诊断<br /></strong>我们看到业务曲线大跌时,检查机器和DNS,发现只是对外的web机响应慢、CPU负载高、ssh登陆慢甚至有些机器登陆不上,检查系统syslog:<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode8"><br /># tail -f /var/log/messages<br />Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.<br /></div><br />检查连接数增多,并且SYN_RECV 连接特别多:<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode9"><br /># netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S}' <br />TIME_WAIT 16855<br />CLOSE_WAIT 21<br />SYN_SENT 99<br />FIN_WAIT1 229<br />FIN_WAIT2 113<br />ESTABLISHED 8358<br />SYN_RECV 48965<br />CLOSING 3<br />LAST_ACK 313<br /></div></p>
<p>根据经验,正常时检查连接数如下:<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode10"><br /># netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S}' <br />TIME_WAIT 42349<br />CLOSE_WAIT 1<br />SYN_SENT 4<br />FIN_WAIT1 298<br />FIN_WAIT2 33<br />ESTABLISHED 12775<br />SYN_RECV 259<br />CLOSING 6<br />LAST_ACK 432<br /></div><br />以上就是TCP洪水攻击的两大特征。执行netstat -na>指定文件,保留罪证。</p>
<p><strong>3.优化Linux阻挡SYN洪水攻击<br /></strong>如果在Linux服务器下遭受SYN洪水攻击,可以进行如下一些设置:<br /><br><div class="msgheader"><div class="right"><span style="CURSOR: pointer" class="copybut"><u>复制代码</u></span></div>代码如下:</div><div class="msgborder" id="phpcode11"><br />#缩短SYN- Timeout时间:<br />iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT<br />iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT<br />#每秒 最多3个 syn 封包 进入 表达为 :<br />iptables -N syn-flood<br />iptables -A INPUT -p tcp –syn -j syn-flood<br />iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN<br />iptables -A syn-flood -j REJECT<br />#设置syncookies:<br />sysctl -w net.ipv4.tcp_syncookies=1<br />sysctl -w net.ipv4.tcp_max_syn_backlog=3072<br />sysctl -w net.ipv4.tcp_synack_retries=0<br />sysctl -w net.ipv4.tcp_syn_retries=0<br />sysctl -w net.ipv4.conf.all.send_redirects=0<br />sysctl -w net.ipv4.conf.all.accept_redirects=0<br />sysctl -w net.ipv4.conf.all.forwarding=0<br />sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1<br />#防止PING:<br />sysctl -w net.ipv4.icmp_echo_ignore_all=1<br />#拦截具体IP范围:<br />iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j Drop<br /></div></p>
頁:
[1]