求助 关于sctp怎样解决SYN攻击

color4tree

TCP 的三次握手，接受端收到SYN后回SYN，并分配资源。这个特点会被利用，使用大量的假SYN，导致server端大量分配资源。
SCTP称解决了这个问题，但是是怎样解决的呢？

SCTP使用4此握手，接手段收到ECHO后会回ECHO_ACK，也要分配资源，不是一样存在问题吗？

3645636

减少通信认证三部曲之后的等待时间


sudo sysctl -a  | grep ipv4 | grep syn

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

net.ipv4.tcp_syncookies是是否打开SYN COOKIES的功能，“1”为打开，“2”关闭。
net.ipv4.tcp_max_syn_backlog是SYN队列的长度，加大队列长度可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries是定义SYN重试次数。

把如下加入到/etc/sysctl.conf即可，之后执行“sysctl -p”！

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

提高TCP连接能力
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3645636

要想防止这类攻击，得买商业状态防火墙

看看这个，或许对你有帮助

http://www.linuxsir.org/bbs/showthread.php?s=&threadid=155280

[ 本帖最后由 3645636 于 2008-10-30 12:02 编辑 ]

platinum

原帖由 color4tree 于 2008-10-30 11:47 发表
TCP 的三次握手，接受端收到SYN后回SYN，并分配资源。这个特点会被利用，使用大量的假SYN，导致server端大量分配资源。
SCTP称解决了这个问题，但是是怎样解决的呢？

SCTP使用4此握手，接手段收到ECHO后会回 ...

没有仔细研究过 SCTP，但大概 2 年前听说过“SCTP 可以解决 TCP 泛洪攻击”的说法
可惜的是由于精力和能力的问题，这个说法没能得到确认

color4tree

谢谢各位，似乎sctp 使用了cokie，正在看cokie是怎样解决SYN攻击的。

Au_Hank

原帖由 color4tree 于 2008-10-30 20:27 发表
谢谢各位，似乎sctp 使用了cokie，正在看cokie是怎样解决SYN攻击的。

你提到的问题也是我的疑问。COOKIE是用加密来代替分配内存，就是用使用CPU资源来代替使用MEM资源。其实也可能
成为被攻击的弱点。

color4tree

原帖由 Au_Hank 于 2008-10-30 20:39 发表


你提到的问题也是我的疑问。COOKIE是用加密来代替分配内存，就是用使用CPU资源来代替使用MEM资源。其实也可能
成为被攻击的弱点。

有道理，很容易被人利用消耗CPU资源。