讨论一下如何防范SYN-FLOOD攻击的问题

platinum

有人说echo 1 >; /proc/sys/net/ipv4/tcp_syncookies可以组织SYN-FLOOD攻击

还有人说，IPTABLES里设置-m limit n/s --limit-burst n可以限制并发流来阻止攻击

刚才在VMWARE里做了试验，用软件攻击自己的VMWARE里的APACHE
结果发现/proc/sys/net/ipv4/tcp_syncookies设置后无济于事
IPTABLES里做了限制，虽然能限制并发流，不至于让机器的网络瘫痪，但HTTP还是无法使用了，还是达到了“拒绝服务”的效果

很无奈……

我想了另一个解决SYN攻击的方法，但是需要SHELL编程
大家有没有什么高见？

platinum

顶一下

repol

没有哟，等你搞出了，拿你的成果哈
嚸嘿

双眼皮的猪

现在没有能很好抵御syn-flood的方式吧.
对层的概念仍然不很明朗,所以...
不管如何都会塞住带宽...以及路由的低效....
不熟悉,请指教........

platinum

原帖由 "双眼皮的猪" 发表：
现在没有能很好抵御syn-flood的方式吧.
对层的概念仍然不很明朗,所以...
不管如何都会塞住带宽...以及路由的低效....
不熟悉,请指教........

DDOS是不能防御的，SYN-FLOOD属于DOS，可以防御的

第二场雪

我见到比较好的方法是用防火墙
先由防火墙建立连接经过三次握手再传给服务器对付syn flood

platinum

“经过三次握手再传给服务器对付syn flood”
再阐述一下？
：）

双眼皮的猪

原帖由 "platinum" 发表：

DDOS是不能防御的，SYN-FLOOD属于DOS，可以防御的

谢谢指点
上次去北京买了本TCP/IP详解卷一,协议,结果在邯郸搞丢了.
郁闷ing..

这不,签到杭州了,就不去北京陪你玩啦,嘿嘿~

第二场雪

原帖由 "platinum" 发表：
“经过三次握手再传给服务器对付syn flood”
再阐述一下？
：）

呵呵,其实我也是不懂的,对协议了解不深刻.
一般的syn flood 是大量的客户端去连接服务器.建立一次握手后就不再继续,于是服务器等待超时.
如果大量的sys连接的话就会造成服务器压力或者连接数满而达到目的.
可以用防火墙来先与客户端建立连接,达到三次握手的才传给服务器,减轻服务器压力.但必须好的防火墙啊,他本身就会成为弱点.
还有可以多服务器分时,由防火墙分别按算法发配请求.

haohaoo

把你shell的思想说出来行不？