SYN DDOS 防御策略

---恢复内容开始---

DDOS是分布式拒绝访问服务攻击,就是海量的向服务器发起request,而服务器难以区分这些request哪些是真实请求。只能都进行回应,

于是服务器的带宽被榨干,无法相应,使得正常的访问也被拒绝。

SYN攻击的原理;

  SYN攻击主要利用的是TCP/IP协议

            TCP三次握手的过程

      client                                                         server

           SYN(SEQ=x) 

               =========================>

state     SYN_SEND      

         SYN(SEQ=Y)  ACK(ACK=x+1)              

          <========================             

state                         SYN_RECV

           ACK(ACK=y+1) 

               =========================>

state ESTABLISHED <==================>ESTABLISHED

      ......

如上图所示,建立一次连接需要经过三次连接,当第二次握手发生时,server断就会将client端的地址放入一个缓存队列,等待client完成第三次握手。

SYN攻击使得服务器发回第二次握手给一个并不存在的地址,并将其存在缓存队列等待。很快队列会被填满,攻击效果达到。

linux下的防御措施

主:

方式1、减少发送syn+ack包时重试的次数
synctl -w net.ipv4.tcp_syncak_retries=3
synctl -w net.ipv4.tcp_syn_retires=3

方式2、开启SYN cookies
synctl -w net.ipv4.tcp_syncookies=1

方式3、增加backlog队列
synctl -w net.ipv4.tcp_max_syn_backlog=2048

次:
关闭ICMP协议请求
synctl -w net.ipv4.icmp_echo_ignore_all=1

通过iptables防止扫描
iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT

iptables -A FORWORD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT

---恢复内容结束---

DDOS是分布式拒绝访问服务攻击,就是海量的向服务器发起request,而服务器难以区分这些request哪些是真实请求。只能都进行回应,

于是服务器的带宽被榨干,无法相应,使得正常的访问也被拒绝。

SYN攻击的原理;

  SYN攻击主要利用的是TCP/IP协议

            TCP三次握手的过程

      client                                                         server

           SYN(SEQ=x) 

               =========================>

state     SYN_SEND      

         SYN(SEQ=Y)  ACK(ACK=x+1)              

          <========================             

state                         SYN_RECV

           ACK(ACK=y+1) 

               =========================>

state ESTABLISHED <==================>ESTABLISHED

      ......

如上图所示,建立一次连接需要经过三次连接,当第二次握手发生时,server断就会将client端的地址放入一个缓存队列,等待client完成第三次握手。

SYN攻击使得服务器发回第二次握手给一个并不存在的地址,并将其存在缓存队列等待。很快队列会被填满,攻击效果达到。

linux下的防御措施

主:

方式1、减少发送syn+ack包时重试的次数
synctl -w net.ipv4.tcp_syncak_retries=3
synctl -w net.ipv4.tcp_syn_retires=3

方式2、开启SYN cookies
synctl -w net.ipv4.tcp_syncookies=1

方式3、增加backlog队列
synctl -w net.ipv4.tcp_max_syn_backlog=2048

次:
关闭ICMP协议请求
synctl -w net.ipv4.icmp_echo_ignore_all=1

通过iptables防止扫描
iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT

iptables -A FORWORD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT

时间: 2024-08-28 11:38:27

SYN DDOS 防御策略的相关文章

Linux iptables防火墙详解 + 配置抗DDOS攻击策略实战

inux iptables防火墙详解 + 配置抗DDOS攻击策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能.在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptables ipfwadm 和 ipchains 比较老,已成历史版本,本章主要介绍Iptables 一.iptable 操作命令参数详解 -A  APPEND,追加一条规则(放到

linux ddos防御攻击

Linux Ddos防御攻击 [[email protected] ~]# netstat -ntu |awk '{print $5}'|grep '[0-9]'|cut -d: -f1 |sort |uniq -c|sort -n   #查看统计ip链接数 安装配置ddos deflate [[email protected] ~]# cd /usr/local/src [[email protected] src]# wget http://www.inetbase.com/scripts/

乔春洋:领导型品牌的防御策略

品牌防御常常是领导型品牌为保持其市场地位而采取的策略,主要有阵地防御.侧翼防御.以攻为守.反攻防御和收缩防御6种.       (一)阵地防御       阵地防御就是集中大量的人力.物力和财力在现有的市场上建筑防御工事,保护现有产品.这种防御是一种静态的.保守的防御策略.简单地防守现有地位或产品是一种营销近视症,是一种消极退缩政策.即使像可口可乐.阿斯匹林等这些被誉为不朽的经典品牌,也不能被其品牌经营者当作未来发展和赢利的主要来源.尽管可口可乐的产量目前几乎占到世界饮料总产量的一半,但可口可乐

国内DDOS防御的专业防火墙技术

很多人对DDOS很感兴趣,但对深层的防御技术不怎么很会有效的进行设置,下面介绍一下防御的一些知识. 什么是DDOS攻击?有什么办法防御? DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击.也就是说拒绝服务攻击的目的非常明确,就是要阻 止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的.虽然同样

ddos 防御 - TCP 网络层防御

cron_ddos_tcp.sh 1#!/bin/sh  2   3   4 for kip in `netstat -an |grep -i ':80' |grep 'EST' | awk '{print $5}' | cut -d : -f 1 | sort | uniq -c | awk '{if($1 > 50 && $2 !~ /192\.168\.1\.19.|0\.0\.0\.0/) {print $2}}'`; do  5   6 echo $kip >>

F5 DDoS防御小妙招:减轻DDoS攻击危害的六大最佳方法

成功减轻DDoS攻击的基础包括:知道监视什么.全天候地监视这些征兆.有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验.下面讨论的最佳方法就反映了这些原则. 最佳方法一:实现数据收集集中化,并理解其趋势 1.集中化监视 运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式:将通信的监管限制由一个小团队负责,以保持监管的连续性. 2.理解正常网络的通信模式 为建立进入企业的正常通信的基准,企业应当定期收集来自交换机.路由器及其它设备

CSRF 防御策略

在业界目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段:在请求地址中添加 token 并验证:在 HTTP 头中自定义属性并验证.下面就分别对这三种策略进行详细介绍. 验证 HTTP Referer 字段 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址.在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问 http://bank.example/withdraw?account=bob&am

DDOS防御总结

1.通过DDOS硬件防火墙对异常流量进行清洗过滤. 2.分布式集群防御,为每个节点服务器配置多个IP地址,每个节点能承受不低于10G的DDOS攻击,如果一个节点受攻击而无法提供服务,系统将会根据优先级设置自切换为另一个节点,并将攻击者的数据包全部返回发送点,是攻击源成为瘫痪状态. 3.高智能DNS解析系统,能够智能地根据用户的上网路线将DNS解析请求引导到攻击者所属网络的服务器.

浅谈撞库防御策略

2014年12306遭遇撞库攻击,13万数据泄露:2015年乌云网上爆出网易邮箱过亿用户数据由于撞库泄露:数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁, 今天小编就和大家探讨一下如何才能够有效的防止撞库攻击.俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的. 首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过. 密码是明文的,提交了正确的验证码,repeater一下 回显是账号和密码错误,再repeater一下,还是显示账号和密码错