注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

TAS使用技巧集--之syn flooding处理  

2013-07-16 10:12:56|  分类: ATS-linuxbox |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
笔者在架设ATS边界系统过程中,在监控系统日志(based UBUNTU1304SERVER)时发现,traffic_server报告接收到类似syn flooding攻击的提示。
虽然三次握手协议原因,致使用至SYN flooding攻击没彻底解决办法,但是通过系统优化还是可以进一步提高LINUX系统对syn flooding以及类syn flooding的网络行为的处理能力。

SYN Flood(同步包)攻击原理:
  在SYN Flood攻击中,利用TCP三次握手协议的缺陷,攻击者向目标主机发送大量伪造源地址的TCP SYN报文,目标主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。
SYN Flood攻击防范手段:
优化系统配置: 
  ::1)包括调整(减少)系统重发包的次数(sysctl参数a:net.ipv4.tcp.synack_retries,建议值3即可)
  ::2)缩短超时时间(通过1)减少了列队刷新时间),
  ::3)增加半连接队列的长度(sysctl参数c:net.ipv4.tcp_max_syn_backlog,建议值2048以上)
  ::4)关闭不重要的服务;
  ::5)开启系统主动syn flooding防范机制(此方式只能防荡小规模syn flood攻击,sysctl参数:net.ipv4.tcp_syncookies,建议值为1)

优化路由器配置:配置路由器的内、外网卡。
完善基础设施: 增加源IP地址检查机制等。
使用防火墙:  采用半透明网关技术的放火墙可有效防范SYN Flooding攻击
主动监视:   监视TCP/IP流量,收集通信控制信息,分析状态,辨别攻击行为。
因为笔者系统是在于处理优化ATS-linuxbox本身,所以这次工作主要关注系统本的优化。
首行使用:
sysctl -w  net.ipv4.tcp.synack_retries=3; #默认应该是5,减小后,这一条是被动提高本系统处理能力,对ATS-linuxbox本身不会有太大影响;
sysctl -w  net.ipv4.tcp_max_syn_backlog=2048;#默认是1024,提高syn flood的tcp队列长度;
sysctl -w     net.ipv4.tcp_syncookies =1; # 默认为0,不过要跟踪一下系统是不是会对某些正常的服务停止服务;         

说明:ATS天生为大群体服务,所以必然面对同时间的大量请求的处理,所以在这里或真或假的syn flood现象极易发生。
  评论这张
 
阅读(84)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017