兄弟们哪！有人用syn flood 攻击我们的linux主机！

duhengliang

有人用syn flood 攻击我们linux主机，用netstat -an 看全是syn 包对我服务器的某端口，怎么办？
我们有100多万的netscreen防火墙，也没能挡得住！现在贴出来让大家帮忙想想办法！！！！
在iptables和路由器上作都是没用的,这个攻击软件可以自己任意指定源地址!封不掉的!

JohnBull

早就说了那些商业产品不过so so而已。
在你的Linux上敲：
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies

如果这台服务器是重载的web服务器，这样做可能会影响连接成功率(就象google那样，一不留神就出不来)，在攻击结束后echo 0即可。

注意，这样做只能抵抗DOS，你的专线还是要被挤占一些。

shangxd

配个iptables啦。

iceblood

看www.s8s8.net，现在运行如何？
其实在背后有三十几个IP，在攻击它。而且经常换IP。
而且也是SYNFLOOD。
想知道怎么解决的吗？
呵呵~其实你先把你的IPTABLE设置好。然后我再告诉你。
不过……呵呵~只怕你的那个100万的防火墙要失去作用了。不过千万不要告诉你们的头哟~要是让他知道一个100万的防火墙还抵不上一个免费的IPTABLE，只怕要气死了。
呵呵~

wind521

大哥，直接说怎么办不就成了吗？

晕

sai

在netscreen上屏蔽掉所有的syn的包就行了。

梦叮咚

[quote]原帖由 "sai"]在netscreen上屏蔽掉所有的syn的包就行了。[/quote 发表：


哈哈哈哈……………………

iceblood

原帖由 "wind521" 发表：
大哥，直接说怎么办不就成了吗？

晕

不是我不说呀，是因为我现在说了也没什么用呀。
因为他还没弄好IPTABLE呢。
不过现在可以提示，wind521你有了这些提示凭你的技术我想是绝对没问题的吧？呵呵~
写个专门抓IP的脚本，把那些一个IP建立大于N个连接的IP（N自己定义比如15个等）然后独立的列出来，列出来后使用脚本自动的一个个加到拒绝的规则里。每3~5分钟自动的检查一次IP连接。
因为SYN攻击的时候，IP是绝对不可能混乱成一团的。而是有固定的IP进行攻击，虽然经常变化，但不可能马上就变。
根据这个特点，可以让防火墙直接抓IP，进行动态的防止SYN攻击。不过也为了防止规则太多，而造成效率低，可以在每过几天，选择在访问两少的时候，进行一次规则的自动清除。

iceblood

[quote]原帖由 "sai"]在netscreen上屏蔽掉所有的syn的包就行了。[/quote 发表：


对于这位仁兄的建议……
呵呵~希望你只是和他开玩笑。
不然他要是真的照你的做，而被老总解雇了，那估计和你绝对拖不了干系。
呵呵~

JohnBull

原帖由 "sai"]在netscreen上屏蔽掉所有的syn的包就行了。[/quote 发表：


厉害！要是大家都象您这样自残，网上的小流氓们就全都可以下岗了。

[quote]原帖由 "iceblood" 发表：
写个专门抓IP的脚本，把那些一个IP建立大于N个连接的IP（N自己定义比如15个等）然后独立的列出来，列出来后使用脚本自动的一个个加到拒绝的规则里。每3~5分钟自动的检查一次IP连接。
因为SYN攻击的时候，IP是绝对不可能混乱成一团的。而是有固定的IP进行攻击，虽然经常变化，但不可能马上就变。

另外，这个时候恐怕iptables不会起作用的，攻击程序的编写者完全可以伪装成任意IP，甚至伪装成新浪、263，也或者每个包随机生成一个IP，你怎么办？
要是伪装成你自己的IP呢？这不又是跟自残一样？