内容简介:以 DDOS SYN Flood 攻击为例。第一种方式是禁止攻击来源IP,但是通常攻击源都不是一个IP第二钟方式是 限制syn并发的次数以及同一个IP 新建连接数的数量
以 DDOS SYN Flood 攻击为例。
第一种方式是禁止攻击来源IP,但是通常攻击源都不是一个IP
$ iptables -I INPUT -s 192.168.0.2 -p tcp -j REJECT
第二钟方式是 限制syn并发的次数以及同一个IP 新建连接数的数量
# 限制 syn 并发数为每秒 1 次 $ iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT # 限制单个 IP 在 60 秒新建立的连接数为 10 $ iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT
但是如果攻击源特别多,其实还是很难阻挡。
SYN Flood 会导致 SYN_RECV 状态的连接急剧增大,可以通过调整半连接容量大小,例如调整为 1024
$ sysctl -w net.ipv4.tcp_max_syn_backlog=1024 net.ipv4.tcp_max_syn_backlog = 1024
另外,每个SYN_RECV 如果失败,内核还会自动重试,默认是 5次,可以修改为1次
$ sysctl -w net.ipv4.tcp_synack_retries=1 net.ipv4.tcp_synack_retries = 1
此外,TCP SYN Cookies 是一种专门防御 SYN Flood 攻击的方法,其原理是基于连接信息(包括源地址、源端口、目的地址、目的端口等)以及一个加密种子(如系统启动时间),计算出一个哈希值(SHA1),这个哈希值称为 cookie。
这个 cookie 就被用作序列号,来应答 SYN+ACK 包,并释放连接状态。当客户端发送完三次握手的最后一次 ACK 后,服务器就会再次计算这个哈希值,确认是上次返回的 SYN+ACK 的返回包,才会进入 TCP 的连接状态。 因而,开启 SYN Cookies 后,就不需要维护半开连接状态了,进而也就没有了半连接数的限制。
注意:开启 TCP syncookies 后,内核选项 net.ipv4.tcp_max_syn_backlog 也就无效了。
可以通过下面的方式开启
$ sysctl -w net.ipv4.tcp_syncookies=1 net.ipv4.tcp_syncookies = 1
以上所述就是小编给大家介绍的《如何防范DDOS攻击》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- DDoS攻击防范技术
- 防范黑客DDoS被攻击的那么几点
- 防范web应用攻击的方法、挑战和启示
- PowerShell恶意利用攻击频繁,企业须做好安全防范
- 黑客常用的CSRF跨站攻击与防范-实例讲解
- “绝对安全”只是奢望,硬件钱包如何防范“中间人攻击”?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
ASP.NET 2.0开发指南
郝刚 / 人民邮电出版社 / 2006 / 88.0
本书紧紧围绕ASP.NET 2.0技术精髓展开深入讲解,全书分为6个部分,共18章。第1部分介绍基础知识,包括ASP.NET 2.0概述、Visual Studio 2005集成开发环境、创建ASP.NET应用程序和C# 2.0程序设计基础。第2部分讲解用户界面方面的特性,包括母版页、主题和皮肤、站点导航控件和其他新增服务器控件。第3部分探讨了数据访问方面的内容,包括数据访问技术概述、数据源控件、......一起来看看 《ASP.NET 2.0开发指南》 这本书的介绍吧!
