兄弟们哪！有人用syn flood 攻击我们的linux主机！

JohnBull

这是一个用于限制SYN数据包接收速率的脚本，比较简陋，你可以参考一下：

1. 
   
2. #! /bin/sh -x
   
3. #
   
4. # sample script on using the ingress capabilities
   
5. # this script shows how one can rate limit incoming SYNs
   
6. # Useful for TCP-SYN attack protection. You can use
   
7. # IPchains to have more powerful additions to the SYN (eg
   
8. # in addition the subnet)
   
9. #
   
10. #path to various utilities;
    
11. #change to reflect yours.
    
12. #
    
13. TC=/sbin/tc
    
14. IP=/sbin/ip
    
15. IPTABLES=/sbin/iptables
    
16. INDEV=eth2
    
17. #
    
18. # tag all incoming SYN packets through $INDEV as mark value 1
    
19. ############################################################
    
20. $IPTABLES -A PREROUTING -i $INDEV -t mangle -p tcp --syn \
    
21.   -j MARK --set-mark 1
    
22. ############################################################
    
23. #
    
24. # install the ingress qdisc on the ingress interface
    
25. ############################################################
    
26. $TC qdisc add dev $INDEV handle ffff: ingress
    
27. ############################################################
    
28. 
    
29. #
    
30. #
    
31. # SYN packets are 40 bytes (320 bits) so three SYNs equals
    
32. # 960 bits (approximately 1kbit); so we rate limit below
    
33. # the incoming SYNs to 3/sec (not very useful really; but
    
34. #serves to show the point - JHS
    
35. ############################################################
    
36. $TC filter add dev $INDEV parent ffff: protocol ip prio 50 handle 1 fw \
    
37. police rate 1kbit burst 40 mtu 9k drop flowid :1
    
38. ############################################################
    
39. 
    
40. 
    
41. #
    
42. echo "---- qdisc parameters Ingress  ----------"
    
43. $TC qdisc ls dev $INDEV
    
44. echo "---- Class parameters Ingress  ----------"
    
45. $TC class ls dev $INDEV
    
46. echo "---- filter parameters Ingress ----------"
    
47. $TC filter ls dev $INDEV parent ffff:
    
48. 
    
49. #deleting the ingress qdisc
    
50. #$TC qdisc del $INDEV ingress
    

复制代码

iceblood

原帖由 "JohnBull" 发表：


另外，这个时候恐怕iptables不会起作用的，攻击程序的编写者完全可以伪装成任意IP，甚至伪装成新浪、263，也或者每个包随机生成一个IP，你怎么办？
要是伪装成你自己的IP呢？这不又是跟自残一样？

因为是一个服务器，而不是一个网关，拒绝了那个IP又如何？
至于伪装成自己？呵呵~这个看你怎么处理了，写脚本的人要是连if语句都不会用的话，那也不用看这篇帖子了。
不要忘记了，我这里是提示，仅仅提示。意思也就是说很多东西都要自己灵活运用，除非你JohnBull照搬我给你的方法。

JohnBull

原帖由 "iceblood" 发表：

因为是一个服务器，而不是一个网关，拒绝了那个IP又如何？
至于伪装成自己？呵呵~这个看你怎么处理了，写脚本的人要是连if语句都不会用的话，那也不用看这篇帖子了。

用if……？你以前是不是都是这么处理的？我知道以后应该怎么对付你的脚本了。  

iceblood

我说用if就每个人都跟着用if呀？
要每个人都那么死死板板，不会变化的话，还学什么计算机。
每人拿一跟UNIX系统管理员大全，从头背到尾。
这个论坛也甭开了。

sai

原帖由 "iceblood" 发表：


对于这位仁兄的建议……
呵呵~希望你只是和他开玩笑。
不然他要是真的照你的做，而被老总解雇了，那估计和你绝对拖不了干系。
呵呵~

呵呵，抱歉抱歉，刚才心情不太好，没认真回答，下次改过~~~

depike

有netscreen防火墙，为什么不直接利用上呢？netscreen 100已经具备了防syn flood攻击的功能，可以参考手册试着配置一下。

拔剑出鞘

呵呵。其实对于你的哪个DDOS攻击。最好的解决办法是正确的安装和配置N台IDS。不过IDS这个东西不是乱配置的。是要分析你的网络架构以后。在你的网络安装的。也不是任何一款都适合你的网络。要看你把他放在那里了。呵呵。和你的老总商量一下把。化钱消灾。

JohnBull

原帖由 "iceblood" 发表：
我说用if就每个人都跟着用if呀？
要每个人都那么死死板板，不会变化的话，还学什么计算机。
每人拿一跟UNIX系统管理员大全，从头背到尾。
这个论坛也甭开了。

别张牙舞爪，用if恐怕是想把自己的IP排除在外是不是？
哈哈哈

JohnBull

[quote]原帖由 "拔剑出鞘"]呵呵。其实对于你的哪个DDOS攻击。最好的解决办法是正确的安装和配置N台IDS。不过IDS这个东西不是乱配置的。是要分析你的网络架构以后。在你的网络安装的。也不是任何一款都适合你的网络。要看你把他放在那里了。呵?.........[/quote 发表：


买多少钱的IDS也是白搭！(脑白金就从你们身上赚钱)
DOS之所以无法防备，就是因为从表面上看来，它与正常的SYN请求完全一样，你根本不能“立刻”断定它的合法性。
而且就算你的IDS里面有神通广大的法轮，能够未卜先知地知道他的合法性，那也得有包过滤与之配合才行吧？可是DOS攻击报文的源地址和序列号几乎可以肯定是伪造的，而且可以每个包都不一样，也就是说你的IDS总是事后诸葛亮，你怎么封锁？

DOS只能在目标机上抵抗，而不能事先防止。
那些号称能够彻底防止syn flood的广告与电线杆子上治性病的小广告属相同性质。

iceblood

谁张牙舞爪，有本事自己提供一个新的比我提出的效果更好的方案给提问者，跑这里来讨论的话欢迎，要是来这里挑刺，我不欢迎你。最少到目前为止，我只发现你有挑刺行为，还没有解决别人问题的行为。