技术贴：如何预防SYN flood攻击？

whm

目前按下面做了，好像没有任何效果。机房还是说有10万的PPS数据包攻击，求帮助

增加SYN队列长度到2048：
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打开SYN COOKIE功能：
sysctl -w net.ipv4.tcp_syncookies=1
降低重试次数：
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
为了系统重启动时保持上述配置，可将上述命令加入到/etc/rc.d/rc.local文件中。

zrdlrofmine

SYN 攻击是没有救的。

等死好了。

wfqvip

原帖由 whm 于 2011-3-7 10:15 发表
目前按下面做了，好像没有任何效果。机房还是说有10万的PPS数据包攻击，求帮助

增加SYN队列长度到2048：
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打开SYN COOKIE功能：
sysctl -w net.ipv4.tcp_syncookies=1
降低重 ...

貌似对openvz的无效

253060406

问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

你上面的设置是保护主机不被干死,线路上的包你没办法处理的

Kokgog

改/etc/sysctl.conf 就好了，不用加到启动文件里......

安心

SYN大概都是束手无策。

whm

其实机房只是说有10万PPS数据包攻击， 我也不知道具体是什么攻击，猜测是SYN， 不知道如何检测是不是syn攻击

zrdlrofmine

SYN属于流量型的攻击

只要足够大，就算你100G带宽接入 都可以给你干掉

253060406

原帖由 whm 于 2011-3-7 10:51 发表
其实机房只是说有10万PPS数据包攻击， 我也不知道具体是什么攻击，猜测是SYN， 不知道如何检测是不是syn攻击

抓包看看,对方发过来都是TCP第一步握手包的话,一般源IP都是随机伪造的,那基本就是SYN FLOOD了

cmse

做cdn 把..