Linux服务器下对SYN洪水攻击的诊断和阻挡

    1.简介
    SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

    详细的原理,网上有很多介绍,应对办法也很多,但大部分没什么效果,这里介绍我们是如何诊断和应对的。

    2. 诊断
    我们看到业务曲线大跌时,检查机器和DNS,发现只是对外的web机响应慢、CPU负载高、ssh登陆慢甚至有些机器登陆不上,检查系统syslog:

    复制代码

    代码如下:

    # tail -f /var/log/messages
    Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.

    检查连接数增多,并且SYN_RECV 连接特别多:

    复制代码

    代码如下:

    # netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
    TIME_WAIT 16855
    CLOSE_WAIT 21
    SYN_SENT 99
    FIN_WAIT1 229
    FIN_WAIT2 113
    ESTABLISHED 8358
    SYN_RECV 48965
    CLOSING 3
    LAST_ACK 313

    根据经验,正常时检查连接数如下:

    复制代码

    代码如下:

    # netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
    TIME_WAIT 42349
    CLOSE_WAIT 1
    SYN_SENT 4
    FIN_WAIT1 298
    FIN_WAIT2 33
    ESTABLISHED 12775
    SYN_RECV 259
    CLOSING 6
    LAST_ACK 432

    以上就是TCP洪水攻击的两大特征。执行netstat -na>指定文件,保留罪证。

    3.优化Linux阻挡SYN洪水攻击
    如果在Linux服务器下遭受SYN洪水攻击,可以进行如下一些设置:

    复制代码

    代码如下:

    #缩短SYN- Timeout时间:
    iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
    iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT
    #每秒 最多3个 syn 封包 进入 表达为 :
    iptables -N syn-flood
    iptables -A INPUT -p tcp –syn -j syn-flood
    iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
    iptables -A syn-flood -j REJECT
    #设置syncookies:
    sysctl -w net.ipv4.tcp_syncookies=1
    sysctl -w net.ipv4.tcp_max_syn_backlog=3072
    sysctl -w net.ipv4.tcp_synack_retries=0
    sysctl -w net.ipv4.tcp_syn_retries=0
    sysctl -w net.ipv4.conf.all.send_redirects=0
    sysctl -w net.ipv4.conf.all.accept_redirects=0
    sysctl -w net.ipv4.conf.all.forwarding=0
    sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
    #防止PING:
    sysctl -w net.ipv4.icmp_echo_ignore_all=1
    #拦截具体IP范围:
    iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j Drop

发表评论

发表评论