SYNPROXY:廉价的抗DoS攻击方案

DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。

在linux内核3.13里终于加入了SYNPROXY的新功能,这个模块是一个基于链接跟踪的netfilter扩展,主要干的工作就是把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端。

开发者Jesper Dangaard Brouer的数据表明SYNPROXY对于对抗SYN FLOOD DOS攻击是非常有效的,笔者今天也在Debian和SLES-12-beta2对SYNPROXY进行了DoS测试,大致结果是在使用hping3和metasploit进行测试,开启SYNPROXY后ksoftirq占用会从8%降低到3%以内。

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2014-06-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维技术迷

linux配置ssh互信实现免密登陆

公钥认证的基本思想 对信息的加密和解密采用不同的key,这对key分别称作private key(私钥)和public key(公钥),其中,public ke...

44810
来自专栏程序猿DD

研究consul的service mesh功能

来源:https://jeremy-xu.oschina.io/2018/07/%E7%A0%94%E7%A9%B6consul%E7%9A%84service...

2253
来自专栏西枫里博客

使用无线网卡连接网络,默认网关不可用的解决。

工作原因不得不使用台式机,最近挪了窝,不高兴在家横七竖八的拉网线,索性就用了一个USB的免驱无线网卡,通过这个小东西进行联网。而这几天发现网络三番两次的掉线,通...

1651
来自专栏java达人

JWT VS Session

作者:Prosper Otemuyiwa 译者:java达人 来源:https://ponyfoo.com/articles/json-web-tokens-...

4276
来自专栏北京马哥教育

负载均衡LVS原理及其应用

一、LB常用解决方案 1、硬件负载均衡解决方案: F5公司: BIG-IP Citrix公司: Netscaler ...

4097
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(8)-附录

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口

792
来自专栏腾讯云TStack专栏

consul的service mesh功能初体验

|作者简介 ? consul之前一直被当成一个服务发现、分布式KV服务、服务健康检查服务等,但此前发布的1.2版本,宣称其实现了Service Mesh方案。...

2961
来自专栏腾讯移动品质中心TMQ的专栏

【腾讯 TMQ 】WIFI 安全测试,其实不难

作为WiFi安全的一部分,近年来WiFi安全事件层出不穷,而其中的ARP攻击事件更加普遍,越来越成为移动互联网时代手机用户的一大痛点。本文主要讲解WIFI的安全...

2860
来自专栏七夜安全博客

无线安全专题_攻击篇--MAC泛洪攻击

1654
来自专栏ascii0x03的安全笔记

使用mitmproxy嗅探双向认证ssl链接——嗅探AWS IoT SDK的mqtts

亚马逊AWS IoT使用MQTTS(在TLS上的MQTT)来提供物联网设备与云平台直接的通信功能。出于安全考虑,建议给每个设备配备了证书来认证,同时,设备也要安...

3835

扫码关注云+社区

领取腾讯云代金券