Linux DDOS攻击的检测和防范

发布时间:2014-05-17 13:54:33 阅读:324次

转:http://www.361way.com/linux-syn-ddos/1699.html

1、利用netstat 工具来检测查看SYN连接

netstat -n -p -t
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 192.168.0.200:5050         192.168.0.38:48892         TIME_WAIT   -
tcp        0      0 192.168.0.200:5050         192.168.0.38:36604         TIME_WAIT   -
tcp        0      0 192.168.0.200:5050         192.168.0.38:52988         TIME_WAIT   -
tcp        0      0 192.168.0.200:5050         192.168.0.38:38911         TIME_WAIT   -
tcp        0      0 192.168.0.200:5050         192.168.0.38:58623         TIME_WAIT   -
tcp        0      0 192.168.0.200:43690        192.168.0.200:61616        ESTABLISHED 10415/java

当然我上面的都是正常连接。当然TIME_WAIT如果占比过多,肯定也是不正常的。(要么受到了攻击,要么需要参数调优。)

而受到DDOS恶意攻击的情况下会在系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态)源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。

tcp 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV- tcp 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV- tcp 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-

具体主机的端口状态有以下几种:

CLOSED:无连接是活动的或正在进行
LISTEN:服务器在等待进入呼叫
SYN_RECV:一个连接请求已经到达,等待确认
SYN_SENT:应用已经开始,打开一个连接
ESTABLISHED:正常数据传输状态
FIN_WAIT1:应用说它已经完成
FIN_WAIT2:另一边已同意释放
ITMED_WAIT:等待所有分组死掉
CLOSING:两边同时尝试关闭
TIME_WAIT:另一边已初始化一个释放
LAST_ACK:等待所有分组死掉

稍微更详细的说明可以看下百度百科上对ESTABLISHED状态的解释及延伸

具体SYN_RECV状态的统计比较多,我这里介绍两种脚本的写法:

netstat -an | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

上面的脚本会列出所有状态的连接数。

netstat -n -p -t | grep SYN_RECV | grep :80 | wc -l

当然,上面80是特指web站点受到DDOS攻击。

 

2、LINUX下DDOS SYN攻击的防范
防范也主要从两方面入手,一是sysctl的自身的关于syn方面的配置,二是防火墙策略上。

sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie,默认关闭 sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列,默认1024,> 1280可能工作不稳定,需要修改内核源码参数 sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2 sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数,默认4

以上四处是网上经常提到的几个地方,当然还有未提到的也可以通过下列命令查看。

[root@web3 nginx]# sysctl -a|grep syn net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5 fs.quota.syncs = 25

如未受到攻击,上面的参数不建议修改。据说有增加主机的不稳定性的风险。

防火墙策略:

#缩短SYN- Timeout时间: iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT #每秒最多3syn封包进入: iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURNiptables -A syn-flood -j REJECT

若文章对您有帮助,不妨点点小广告,我将可以获得5毛钱的奖励,您的鼓励是维持我不断写博客的最大动力!

如有问题,可以QQ搜索群1028468525加入群聊,欢迎一起研究技术

支付宝 微信

有疑问联系站长,请联系QQ:QQ咨询

转载请注明:Linux DDOS攻击的检测和防范 出自老鄢博客 | 欢迎分享