巧用iptables五招免费搞定SYN洪水攻击

转载来源 &＃xff1a;巧用iptables五招免费搞定SYN洪水攻击 &＃xff1a;https://www.toutiao.com/i6772397997692027399/

摘要: SYN Flood是种典型的DoS攻击&＃xff0c;属于DDos攻击的一种&＃xff1b;遭受攻击后服务器TCP连接资源耗尽&＃xff0c;最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年&＃xff0c;但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在&＃xff0c;但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对 …

SYN Flood介绍

SYN Flood是种典型的DoS攻击&＃xff0c;属于DDos攻击的一种&＃xff1b;遭受攻击后服务器TCP连接资源耗尽&＃xff0c;最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年&＃xff0c;但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在&＃xff0c;但是没有对于TCP实现的一个标准的补救方法出现。今天小聪将详述这种攻击原理以及对抗SYN洪水的方法分享给大家&＃xff01;

首先我们来看看SYN洪水攻击的攻击原理

正常的三次握手&＃xff1a;

1.先发起一个SYN&＃61;1的包&＃xff0c;并且带一个序列号&＃xff08;Seq&＃xff09;&＃xff1b;

2.服务器收到这个包以后&＃xff0c;将这个数据放入到一个队列中&＃xff0c;这个队列叫syn_table。并且发送一个返回包&＃xff0c;作为响应&＃xff0c;这个返回包有自己的序列号&＃xff08;Seq&＃xff09;&＃xff0c;以及一个Ack&＃xff0c;Ack的值就是客户端发来的Seq值加一&＃xff1b;

3.客户端收到返回信息以后&＃xff0c;将服务器的Seq加一作为Ack又发给服务器&＃xff1b;

4.服务器收到这第三个包&＃xff0c;验证没问题以后&＃xff0c;就将这个连接放入到request_sock_queue,三次握手完成。

SYN Flood 主要是利用了TCP协议的三次握手的缺陷&＃xff0c;在这个攻击中&＃xff0c;Flood带有一系列的syn数据包&＃xff0c;每个数据包都会导致服务端发送SYN-ACK响应&＃xff0c;然后服务器等待SYN&＃43;ACK之后的第三次握手ACK&＃xff0c;由于客户端是软件生成的虚拟IP&＃xff0c;永远不会再发送ACK响应服务端&＃xff0c;服务端会利用从传机制直到超时后删除&＃xff0c;整个系统资源也会被队列积压消耗&＃xff0c;导致服务器无法对正常的请求进行服务。

那么如何判断自己是否遭受SYN攻击&＃xff1f;

检测SYN攻击非常的简单&＃xff0c;当你在服务器上看到大量的半连接状态时&＃xff0c;特别是源IP地址是随机的&＃xff0c;基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat工具来检测SYN攻击&＃xff1a;# netstat -n -p TCP

反馈如图

了解原理之后&＃xff0c;我们来看看如何防御SYN Flood攻击

配置iptables规则

Iptables防火墙我们可以理解为Linux系统下的访问控制功能&＃xff0c;我们可以利用Iptables来配置一些规则来防御这种攻击。强制SYN数据包检查&＃xff0c;保证传入的tcp链接是SYN数据包&＃xff0c;如果不是就丢弃。

#iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP


强制检查碎片包&＃xff0c;把带有传入片段的数据包丢弃。

#iptables -A INPUT -f -j DROP


丢弃格式错误的XMAS数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP


丢弃格式错误的NULL数据包。

#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP


当Iptables配置完成后我们可以使用nmap命令对其验证

# nmap -v -f FIREWALL IP# nmap -v -sX FIREWALL IP# nmap -v -sN FIREWALL IP


例如&＃xff1a;

其他防御方式&＃xff1a;

除此之外针对SYN攻击的几个环节&＃xff0c;我们还可以使用以下处理方法&＃xff1a;

方式1&＃xff1a;减少SYN-ACK数据包的重发次数&＃xff08;默认是5次&＃xff09;

sysctl -w net.ipv4.tcp_synack_retries&＃61;3sysctl -w net.ipv4.tcp_syn_retries&＃61;3


方式2&＃xff1a;使用SYN COOKIE技术

sysctl -w net.ipv4.tcp_synCOOKIEs&＃61;1


方式3&＃xff1a;增加backlog队列&＃xff08;默认是1024&＃xff09;&＃xff1a;

sysctl -w net.ipv4.tcp_max_syn_backlog&＃61;2048


方式4&＃xff1a;限制SYN并发数&＃xff1a;

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s