巧用iptables防御DDoS攻击!

2021-02-21    分类: 网站建设

SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击,属于DDos攻击的一种。遭受攻击后服务器TCP连接资源耗尽,最后停止响应正常的TCP连接请求。尽管这种攻击已经出现了十多年,但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在,但是没有对于TCP实现的一个标准的补救方法出现。今天小编将详述这种攻击原理以及对抗SYN洪水的方法~


防御 SYN Flood攻击

配置iptables规则

Iptables防火墙我们可以理解为Linux系统下的访问控制功能,我们可以利用Iptables来配置一些规则来防御这种攻击。强制SYN数据包检查,保证传入的tcp链接是SYN数据包,如果不是就丢弃。

  1. #iptables -A INPUT -p tcp --syn -m state --state NEW -j DROP 

强制检查碎片包,把带有传入片段的数据包丢弃。

  1. #iptables -A INPUT -f -j DROP 

丢弃格式错误的XMAS数据包。

  1. #iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 

丢弃格式错误的NULL数据包。

  1. #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 

当Iptables配置完成后我们可以使用nmap命令对其验证

  1. # nmap -v -f FIREWALL IP 
  2. # nmap -v -sX FIREWALL IP 
  3. # nmap -v -sN FIREWALL IP 

例如:


你还在花钱防御DDoS?巧用iptables 5招免费搞定 SYN洪水攻击!

其他防御方式:

除此之外针对SYN攻击的几个环节,我们还可以使用以下处理方法:

方式1:减少SYN-ACK数据包的重发次数(默认是5次)

  1. sysctl -w net.ipv4.tcp_synack_retries=3 
  2. sysctl -w net.ipv4.tcp_syn_retries=3 

方式2:使用SYN Cookie技术

  1. sysctl -w net.ipv4.tcp_syncookies=1 

方式3:增加backlog队列(默认是1024):

  1. sysctl -w net.ipv4.tcp_max_syn_backlog=2048 

方式4:限制SYN并发数:

  1. iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s 

文章标题:巧用iptables防御DDoS攻击!
文章地址:/news34/102184.html

成都网站建设公司_创新互联,为您提供网站排名企业网站制作手机网站建设网页设计公司关键词优化微信公众号

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

营销型网站建设