阻塞是攻擊不同於侵入式攻擊,是很難**的。因為其主要**是大量受黑客控制的肉雞,而且可能是動態ip,所以沒有辦法通過封鎖ip的方式徹底排除其影響,通常只能採取一定的措施減輕其影響,實在不行則只能加硬體防火牆。
如何減小syn攻擊的影響
1、擴大backlog暫存數, 盡可能多的保留合法連線:
# sysctl -w net.ipv4.tcp_max_syn_backlog=2048 ( 預設:1024)
2、啟用syncookies:
#sysctl -w net.ipv4.tcp_syncookies=1
啟用syncookies可以大幅減小syn攻擊帶來的影響,但是卻引入了新的安全缺陷
syncookie基本原理是:仔細處理連線的初始序列號而不是隨機選擇乙個序列號。一旦server接收到syn報文,將關鍵資訊仔細編碼並作為 state儲存在syn佇列中。這種經過編碼的資訊是用乙個秘鑰進行加密hash,形成syn-ack報文中的序列號並傳送給client。在合法握手的 第三個報文中,即從client返回給server的ack報文中,在acknowledgment number欄位中包含該序列號(加1). 這樣,open雙向連線所必須的所有資訊又返回給server,而server在三次握手完成之前不必維護state。syn-cookies解決了 syn的基本問題,但是隨之帶來乙個新的問題,就是伺服器需要對收到的ack報文進行計算,提高了三次握手需要的系統資源。一種新的攻擊方式隨之而來,即 ack攻擊,傳送大量的ack資料報,導致伺服器忙於計算最終導致伺服器停止相應。linux上的實際應用中,只有等待數被佔滿的時候才會啟用 syncookies的方式
3、修改重試次數
#sysctl -w net.ipv4.tcp_syn_retries = 1 重傳次數設定為1, (甚至設定為0, 即只要收不到客戶端的響應,立即丟棄該連線) 預設設定為5次
4. 此外, 可以參考以下iptables的策略, 合併在一起控制併發連線數
減小ack攻擊影響
#iptables -i input -p tcp –dport 80 -m connlimit –connlimit-above 50 -j drop
#iptables -t filter -a input -p tcp –dport 80 –tcp-flags fin,syn,rst,ack ack -m connlimit –connlimit-above 10 –connlimit-mask24 -j reject
限制併發ack不大於50
可以按照c網來進行統計和封鎖是connlimit模組非常獨特的優勢.
3.限制單位時間內的連線數:
#iptables -t filter -a input -p tcp –dport 80 -m –state –state new -m recent –set –name access –resource#iptables -t filter -a input -p tcp –dport 80 -m –state –state new -m recent –update –seconds 60 –hitcount 30 –name access -j drop
由於connlimit模組還沒有正式進入核心, 所以目前恐怕只有第三條比較實用.
減小cc攻擊影響
普通的cc攻擊特點是所有的連線都是正常的完整的連線,這樣的連線一般的防火牆是很難預防的。但是既然是網路攻擊必然也具有網路攻擊的共同特點,也 就是每乙個攻擊源都會發起盡量多的連線,因此我們仍然可以使用限制單個位址併發鏈結數量的辦法來實現對cc攻擊的抵禦。具體命令同上
webcc,想必之下似乎更加難以預防,但是由於所有的訪問都是由相同的乙個或幾個**中轉而來,這些訪問請求的http_reffer都會帶有這 些中轉站的位址。我們只要在web伺服器上設定http_reffer過濾即可大幅減小webcc攻擊的影響
[參考文章]
1. syn攻擊的原理,攻擊工具,以及防護手段/使用iptables應對syn攻擊、cc攻擊、ack攻擊
2. syn flood攻擊、syn cookie防禦和linux/freebsd的核心引數修改
3. tcp syn flood攻擊的原理機制/檢測與防範及防禦方法
4. 一次dos事件的分析和處理辦法 (linux + iptables)
cc攻擊和DDos攻擊區別
ddos攻擊就是分布式的拒絕服務攻擊,ddos攻擊手段是在傳統的dos攻擊 拒絕服務攻擊 基礎之上產生的一類攻擊方式。單一的dos攻擊一般是採用一對一方式的,通過製造並傳送大流量無用資料,造成通往被攻擊主機的網路擁塞,耗盡其服務資源,致使被攻擊主機無法正常和外界通訊。隨著計算機與網路技術的發展,do...
CC攻擊 DDOS攻擊和SYN攻擊以及防禦
cc攻擊主要攻擊 頁面的,cc攻擊的原理就是攻擊者控制一些虛擬ip不停地發大量資料報給對方伺服器造成伺服器資源耗盡 ddos攻擊有稱為洪水攻擊,ddos攻擊原理就是攻擊者對網路資源傳送過量資料,導致伺服器無法正常執行 syn攻擊又稱為小包攻擊,syn攻擊的原理就是syn它利用tcp協議缺陷,通過傳送...
DDOS和cc攻擊的防禦
ddos和cc攻擊的防禦 author headsen chen 2017 10 21 10 47 39 ddos攻擊形式 黑客挾持多個電腦 肉雞 一起對某個伺服器傳送資料報,以達到消耗完伺服器頻寬的目的,消耗資源 ddos 分布式拒絕服務攻擊 輸入傳輸層的安全問題 當你的伺服器遭受到ddos攻擊時...