转载来源 ：巧用iptables五招免费搞定SYN洪水攻击 ：https://www.toutiao.com/i6772397997692027399/

摘要: SYN Flood是种典型的DoS攻击，属于DDos攻击的一种；遭受攻击后服务器TCP连接资源耗尽，最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年，但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在，但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对 …

SYN Flood介绍

SYN Flood是种典型的DoS攻击，属于DDos攻击的一种；遭受攻击后服务器TCP连接资源耗尽，最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年，但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在，但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对抗SYN洪水的方法分享给大家！

首先我们来看看SYN洪水攻击的攻击原理

正常的三次握手：

1.先发起一个SYN=1的包，并且带一个序列号（Seq）；

2.服务器收到这个包以后，将这个数据放入到一个队列中，这个队列叫syn_table。并且发送一个返回包，作为响应，这个返回包有自己的序列号（Seq），以及一个Ack，Ack的值就是客户端发来的Seq值加一；

3.客户端收到返回信息以后，将服务器的Seq加一作为Ack又发给服务器；

4.服务器收到这第三个包，验证没问题以后，就将这个连接放入到request_sock_queue,三次握手完成。

SYN Flood 主要是利用了TCP协议的三次握手的缺陷，在这个攻击中，Flood带有一系列的syn数据包，每个数据包都会导致服务端发送SYN-ACK响应，然后服务器等待SYN+ACK之后的第三次握手ACK，由于客户端是软件生成的虚拟IP，永远不会再发送ACK响应服务端，服务端会利用从传机制直到超时后删除，整个系统资源也会被队列积压消耗，导致服务器无法对正常的请求进行服务。

那么如何判断自己是否遭受SYN攻击？

检测SYN攻击非常的简单，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat工具来检测SYN攻击：# netstat -n -p TCP

反馈如图

了解原理之后，我们来看看如何防御SYN Flood攻击

配置iptables规则

Iptables防火墙我们可以理解为Linux系统下的访问控制功能，我们可以利用Iptables来配置一些规则来防御这种攻击。强制SYN数据包检查，保证传入的tcp链接是SYN数据包，如果不是就丢弃。

#iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP

强制检查碎片包，把带有传入片段的数据包丢弃。

#iptables -A INPUT -f -j DROP

丢弃格式错误的XMAS数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

丢弃格式错误的NULL数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

当Iptables配置完成后我们可以使用nmap命令对其验证

# nmap -v -f FIREWALL IP# nmap -v -sX FIREWALL IP# nmap -v -sN FIREWALL IP

例如：

其他防御方式：

除此之外针对SYN攻击的几个环节，我们还可以使用以下处理方法：

方式1：减少SYN-ACK数据包的重发次数（默认是5次）

sysctl -w net.ipv4.tcp_synack_retries=3sysctl -w net.ipv4.tcp_syn_retries=3

方式2：使用SYN Cookie技术

sysctl -w net.ipv4.tcp_syncookies=1

方式3：增加backlog队列（默认是1024）：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

方式4：限制SYN并发数：

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s

巧用iptables五招免费搞定SYN洪水攻击相关推荐

1. 巧用iptables搞定SYN洪水攻击！

   SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击,属于DDos攻击的一种.遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请 ...

2. Android：用GSON 五招之内搞定任何JSON数组

   写在前面原文  http://www.iamxiarui.com/2016/08/30/android:用gson-五招之内搞定任何json数组/ 关于GSON的入门级使用,这里就不提了,如有需要可以 ...

3. hikvision v2.3控件网页demo_网页禁止复制粘贴怎么解决？教你五招轻松搞定

   经常在网上遇到一些无法复制的文章,有什么办法可以绕开这种限制,将网页内容轻松下载下来呢?其实网页上文本复制下来不是问题,只要用对方法,都可以轻松搞定,将相关文本复制下来,一起来看看要怎么做吧. 方法一 ...

4. 用SEO五招轻松搞定竞争对手

   正如所有努力获得高搜索排名的人所证明的那样,搜索引擎优化(SEO)是个长期压制竞争对手的好方法.要赢得竞争胜利,你需要持续改进网站,并且监控竞争对手的SEO动向. 如果你已目睹竞争对手篡夺了你的高排名 ...

5. 免费抠图神器！五秒在线搞定抠图

   第一款:remove.bg(2018年) 网站链接:Remove Background from Image – remove.bg 详细介绍参考:5秒自动抠图!可能是2018年最强大的去背景神器! ...

6. 十招轻松搞定社会媒体

   十招轻松搞定社会媒体 十招轻松搞定社会媒体   社会媒体化成为在线营销的重要手段不再是什么秘密了,写一些好的内容并且进行推广只是这个过程的一小部分,你还必须加强在网络社会的曝光机会,有些人不知道如何开 ...

7. mac电脑怎么录屏？2招轻松搞定！

   案例:怎样对mac电脑进行屏幕录制? [之前一直使用的是Windows电脑,对Windows电脑比较熟悉.最近换了一台苹果电脑,不知道使用它怎么进行电脑录屏.求一个好用的苹果电脑录屏方法!] 在我们的 ...

8. 九十五、轻松搞定Python中的Excel办公自动化系列

   @Author:Runsen @Date:2020/7/11 人生最重要的不是所站的位置,而是内心所朝的方向.只要我在每篇博文中写得自己体会,修炼身心:在每天的不断重复学习中,耐住寂寞,练就真功,不畏 ...

9. 计算机无法上网的软件故障,解决你99%无法联网问题，高手教你只用1招轻松搞定...

   原标题:解决你99%无法联网问题,高手教你只用1招轻松搞定 无限君:现在生活中不管是电脑还是手机,没有了网络绝大多数功能会无法使用,在日常生活中手机连接无线网的故障非常罕见,基本上通过手机重启就可以轻 ...

最新文章

1. 传统Excel绩效考核和绩效管理系统区别
2. mscoreei.dll没有被指定在windows上运行_在Windows上使用Docker运行.NetCore
3. 2410 中断过程处理分析
4. 《中国管理安全服务（MSS）市场研究报告2010》读后感
5. 超级usb万能启动盘
6. Minimum Ternary String CodeForces - 1009B（思维）
7. 十年千篇！人脸识别相关技术最全论文合辑
8. js 计时器无法清除是为什么
9. 【Oracle】手工创建数据库
10. 【BZOJ 3505】 [Cqoi2014]数三角形 容斥原理+排列组合+GCD
11. 【2D 目标检测】CornerNet: Detecting Objects as Paired Keypoints
12. 嵌入式开发板如何自动登陆校园网实现上网
13. 免费下载数据集（转载）--大数据学习用
14. 考夫曼自适应均线_采访：查理·考夫曼
15. raid的种类、特点、区别
16. js 显示12小时，24小时制时间
17. CFS调度器学习总结
18. 物联网操作系统系列文章之-软件平台的力量
19. 头条飞聊呼之欲出，击败微信难，却可能成为下一个Instagram
20. 网络工程师操作学习指南

热门文章

1. php 每天早上八点执行操作_php多进程单线程之phpcgi、phpfpm
2. 反编译Android将状态栏高度,反编译SystemUI.apk 实现状态栏时间居中
3. Ruby设计模式透析之 —— 组合(Composite)
4. 设计模式原则之三：接口隔离原则
5. 马云：电商之王还想怎样(转）
6. android开发关掉发现更新的官方版本,XUpdate：轻量级、高可用性的 Android 版本更新框架...
7. python安装后使用_Python安装后如何使用？
8. coco 数据集_如何用 coco 数据集训练 Detectron2 模型？
9. Shell脚本（函数，shell中的数组）
10. MyEclipse配置TomCat环境(图文详解)