前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >SYNPROXY:最廉价的抗DoS攻击方案

SYNPROXY:最廉价的抗DoS攻击方案

作者头像
FB客服
发布2018-02-02 14:44:19
1.5K0
发布2018-02-02 14:44:19
举报
文章被收录于专栏:FreeBuf

对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案。虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了。作为一个学术型人才,我倾向于使用简单廉价的组合来解决问题—x86+GNU/Linux。在linux 3.13内核中加入了SYNPROXY这个功能,它的实现基于netfilter framework 和 connection tracking 模块。

我猜测,他会把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端。

Jesper Dangaard Brouer曾给我我一份上个月DEVCON的报告,根据里面的内容,我和同事也做了实验,结果还不错。

下面是测试结果,大家随意感受一下

代码语言:javascript
复制
平台: Debian, SLES-12-beta2
硬件: Laptop, Server, 100Mbps Switch
工具: hping3, metasploit
root@d6-test:/home/shawn# iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 8888 --syn -j NOTRACK
root@d6-test:/home/shawn# iptables -A INPUT -i eth0 -p tcp --dport 8888 -m state --state UNTRACKED,INVALID -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
结果:
不使用 SYNPROXY: ksoftirq is around 8%-9%
使用 SYNPROXY: ksoftirq is less than 3%
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2014-03-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档