专栏首页网络安全防护服务器遭到SYN攻击怎么办?如何防御SYN攻击?
原创

服务器遭到SYN攻击怎么办?如何防御SYN攻击?

SYN洪水攻击是DDOS攻击中最常见的攻击类型之一。是一种利用TCP 协议缺陷,攻击者向被攻击的主机发送大量伪造的TCP连接请求,从而使得被攻击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的攻击方式。SYN攻击的目标不止于服务器,任何网络设备,都可能会受到这种攻击,针对网络设备的SYN攻击往往会导致整个网络瘫痪。企业遭到SYN攻击该如何防御呢?墨者安全通过以往的高防经验来分享一下如何利用iptables来缓解SYN攻击。


1、修改等待数

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

2、启用syncookies

sysctl -w net.ipv4.tcp_syncookies=1

3、修改重试次数

sysctl -w net.ipv4.tcp_syn_retries = 0

重传次数设置为0,只要收不到客户端的响应,立即丢弃该连接,默认设置为5次

4、限制单IP并发数

使用iptables限制单个地址的并发连接数量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT

5、限制C类子网并发数

使用iptables限制单个c类子网的并发链接数量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT

6、限制单位时间内连接数

设置如下:

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --set

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --update --seconds 60 --hitcount 30 -j DROP

7、修改modprobe.conf

为了取得更好的效果,需要修改/etc/modprobe.conf

options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

作用:记录10000个地址,每个地址60个包,ip_list_tot最大为8100,超过这个数值会导致iptables错误

8、限制单个地址最大连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j D


通过上述这些设置,可以缓解SYN攻击带来的影响,但如果遭到几百几千G的T级流量洪水攻击,那只能选择像墨者安全那样的商业级的防DDOS服务了。墨者盾高防可以隐藏服务器真实IP,利用新的WAF算法过滤技术,清除DDOS异常流量,保障服务器正常运行。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • DDOS常见的类型有哪些?

    之前讲过DDOS有哪些类型,但是因为时间问题没有那么详细的去分享。并且最近有几个客户被攻击后,也不确定是受到什么样的攻击,因此,再写一些关于DDOS的种类分享给...

    墨者盾
  • 大家可能对DDoS存在的几个误区?

    相信大家常听到DDoS攻击,但是对它的认知大部分人的应该是来源于新闻媒体报道。当然通过这种的普及方式,我们认识到DDoS的危害性,但同时可能对它也会陷入误区。如...

    墨者盾
  • 分布式拒绝服务进入了1Tbps时代:如何识别DDOS类型

    随着近几年DDoS攻击规模越来越大,分布式拒绝服务已经进入了1 Tbps的DDoS攻击时代。随着不断创新的攻击方式让传统的企业传统的网络运维部压力巨增,同时让很...

    墨者盾
  • [译] Android 的多摄像头支持

    从 Android P 开始,添加了对逻辑多摄像头和 USB 摄像头的支持。这对 Android 开发者来说意味着什么?

    Android 开发者
  • 双摄像头 —— 智能手机发展的必要趋势

    随着时代的发展,手机厂商为了提升手机性能可谓是绞尽脑汁。手机越来越薄,屏幕越来越大,摄像头也是从一个升级到了两个。以下内容纯属个人观点(要一个完全不懂摄像头的人...

    神无月
  • 1.7 Tbps!史上最大规模DDoS攻击就此诞生!

    2018年2月28日,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。 ? 然而,事情才过...

    安恒信息
  • 15——FFmpeg命令行操作摄像头数据

    你好,欢迎回来,本期我们来讲一讲如何使用FFmpeg命令行操作摄像头数据,主要分为两个部分,一通过FFplay播放摄像头数据,有点直播的意思;而通过FFmpeg...

    视界音你而不同
  • Reactor模式

    Reactor模式是一种设计模式,它是基于事件驱动的,可以并发的处理多个服务请求,当请求抵达后,依据多路复用策略,同步的派发这些请求至相关的请求处理程序。

    CodingDiray
  • 【说明】| 关于Chromium浏览器的更新......

    实践是检验真理的唯一标准,我国的互联网对于访问国外网站的限制确实很大啊,最近两次关于科学上网的文章都被判断为违规内容,但是也没有办法,还是要尊重国家的法律法规...

    ShuYini
  • 【PyTorch 挑战 TensorFlow】28303 篇 arXiv 论文看深度学习 6 大趋势

    【新智元导读】本文由 Andrej Karpathy撰写,他前不久加入了特斯拉,担任AI 负责人。本文是他在 OpenAI 担任研究员期间所写,陈述了他通过分析...

    新智元

扫码关注云+社区

领取腾讯云代金券