兄弟们哪！有人用syn flood 攻击我们的linux主机！

iceblood

看www.s8s8.net，现在运行如何？
其实在背后有三十几个IP，在攻击它。而且经常换IP。
而且也是SYNFLOOD。
想知道怎么解决的吗？
呵呵~其实你先把你的IPTABLE设置好。然后我再告诉你。
不过……呵呵~只怕你的那个100万的防火墙要失去作用了。不过千万不要告诉你们的头哟~要是让他知道一个100万的防火墙还抵不上一个免费的IPTABLE，只怕要气死了。
呵呵~

iceblood

原帖由 "wind521" 发表：
大哥，直接说怎么办不就成了吗？

晕

不是我不说呀，是因为我现在说了也没什么用呀。
因为他还没弄好IPTABLE呢。
不过现在可以提示，wind521你有了这些提示凭你的技术我想是绝对没问题的吧？呵呵~
写个专门抓IP的脚本，把那些一个IP建立大于N个连接的IP（N自己定义比如15个等）然后独立的列出来，列出来后使用脚本自动的一个个加到拒绝的规则里。每3~5分钟自动的检查一次IP连接。
因为SYN攻击的时候，IP是绝对不可能混乱成一团的。而是有固定的IP进行攻击，虽然经常变化，但不可能马上就变。
根据这个特点，可以让防火墙直接抓IP，进行动态的防止SYN攻击。不过也为了防止规则太多，而造成效率低，可以在每过几天，选择在访问两少的时候，进行一次规则的自动清除。

iceblood

[quote]原帖由 "sai"]在netscreen上屏蔽掉所有的syn的包就行了。[/quote 发表：


对于这位仁兄的建议……
呵呵~希望你只是和他开玩笑。
不然他要是真的照你的做，而被老总解雇了，那估计和你绝对拖不了干系。
呵呵~

iceblood

原帖由 "JohnBull" 发表：


另外，这个时候恐怕iptables不会起作用的，攻击程序的编写者完全可以伪装成任意IP，甚至伪装成新浪、263，也或者每个包随机生成一个IP，你怎么办？
要是伪装成你自己的IP呢？这不又是跟自残一样？

因为是一个服务器，而不是一个网关，拒绝了那个IP又如何？
至于伪装成自己？呵呵~这个看你怎么处理了，写脚本的人要是连if语句都不会用的话，那也不用看这篇帖子了。
不要忘记了，我这里是提示，仅仅提示。意思也就是说很多东西都要自己灵活运用，除非你JohnBull照搬我给你的方法。

iceblood

我说用if就每个人都跟着用if呀？
要每个人都那么死死板板，不会变化的话，还学什么计算机。
每人拿一跟UNIX系统管理员大全，从头背到尾。
这个论坛也甭开了。

iceblood

谁张牙舞爪，有本事自己提供一个新的比我提出的效果更好的方案给提问者，跑这里来讨论的话欢迎，要是来这里挑刺，我不欢迎你。最少到目前为止，我只发现你有挑刺行为，还没有解决别人问题的行为。

iceblood

原帖由 "JohnBull" 发表：


你看你急什么啊。
你要是明白TCP的原理就应该知道DOS只能抵抗，而根本没办法用技术手段解决，不是么？
这样的问题，你让我怎么“解决”？我又不是李洪志！
我告诉了他echo 1 >; .....，我还给了他脚本，还要..........

我要连这都不明白，我就不用混了。
当然了，或许你了解的比我更深，不过我交他的是技巧，防止攻击一味的靠技术是不行，还要靠技巧。至少我现在保护的一台服务器虽然一直受到30多个IP，并且不停的变化的SYN攻击，到现在一直工作的还可以。而你告诉他的方法我承认技术含量比我高很多很多，但你的却没能解决问题。