求SYN攻击的防御方法以及追踪，高手和有经验者请进.

leaper

要是流量大真的是没戏

我们前段时间也是这样.等于死机了.

独孤九贱

原帖由 "platinum" 发表：

还是 peng 的那句话，如果带宽堵死了，啥都没戏

——偶是做这行的，以前我也这么认为，不过我用了天网防火墙和绿盟的网络黑洞后，我就不这么认为了！

风流涕淌

原帖由 "独孤九贱" 发表：


——偶是做这行的，以前我也这么认为，不过我用了天网防火墙和绿盟的网络黑洞后，我就不这么认为了！

听说绿盟的黑洞是基于FREEBSD的，不知道是不是真的，
楼上的，可否大概说一下原理

platinum

原帖由 "独孤九贱" 发表：


——偶是做这行的，以前我也这么认为，不过我用了天网防火墙和绿盟的网络黑洞后，我就不这么认为了！

理论上讲，如果数据把你的网卡堵死，不管你的墙是接收、丢弃、还是修改数据包，都要经过你的设备
如果网络吞吐量足够大，如果小包数量足够多，就算你能处理过来，但是你的链路也已经死掉了
你说的“以前我也这么认为，。。。。。我就不这么认为了”，我想是因为你的带宽还很富裕而已
你是 绿盟 的销售吧

独孤九贱

一种SYN代理吧。
DoS防御网关收到一个SYN请求，代理服务器回应，如果收到第三次的ACK，则认为是一种正常的包（当然，NullKill这时候就过了……^o^），否则，rst！
听说Linux 下SYN cookie也是类似于这种原理（偶没有用过，只是听说）！

我们在实际测试100M网络环境中，攻击流量达到84M以上，使用这两种产品，服务器仍然能够很好地向用户提供正常服务。
首先声明，我不是来打广告的哈，只是把我的使用经验告诉大家……
至于绿盟的是不是freebsd，偶就不得而知了。我和他们开发没有联系！不过价格，就有点贵了……

ipaddr

都是需要加硬件的呀？

有没有直接改操作系统配置的？

难道只能这样任人攻击？

另外，好象SYN攻击，不需要多大流量就可以弄错服务器的.

独孤九贱

原帖由 "platinum" 发表：

理论上讲，如果数据把你的网卡堵死，不管你的墙是接收、丢弃、还是修改数据包，都要经过你的设备
如果网络吞吐量足够大，如果小包数量足够多，就算你能处理过来，但是你的链路也已经死掉了
你说的“以前我也这么?.........

偶如果是绿盟的销售，为什么又要推天网的？晕！
你说的没有错，“果数据把你的网卡堵死”，不过你给我发100M的攻击数据出来看看？这也不是一件容易事情！一般SYN攻击只需要很小的数据流量就可以达到目的了。
小包数量？
IXP1200以上，小包转发都是接近线速的。
我只是陈述我的使用经验而已，如果大家有兴趣而不相信我说的话，可以找这两种产品自己试试！

platinum

SYN-FLOOD 是 DDOS 攻击的一种，产生 N 个半连接，消耗系统资源，这种方式在流量不大的情况下，抗 DDOS 系统可以有效阻止
但是如果流量大了，就没办法了，这个谁也不能否认

如果几个 IDC 的机器一起攻击，到 100M 是件很容易的事

我是在跟你开玩笑，我知道你不是绿盟的

ymyhz

一般而言，遇到DDOS的攻击你只能缴械投降，30多年的设计——三次握手使DDOS有机可乘。

peng

原帖由 "独孤九贱" 发表：


偶如果是绿盟的销售，为什么又要推天网的？晕！
你说的没有错，“果数据把你的网卡堵死”，不过你给我发100M的攻击数据出来看看？这也不是一件容易事情！一般SYN攻击只需要很小的数据流量就可以达到目的了。
小..........

不用发100m，你也是死啊。。

哥们，实际情况不是你理论上的那样啊。。

比如：你的网络环境：你的专线接入，还是idc托管。

专线接入，我60m的攻击流量，你只要低于60m的接入专线，不是就over了吗？

如果你是idc托管，但是不是一个交换机就你一个机器在用啊。。

一般都是24口和48口。你自己有100m的流量，别的机器就没有要交换的流量了吗？上连口要是只有100m，那么60m的ddos，就能让你的idc的交换机cpu耗光死掉，就是堵塞你的交换机上连端口啊。。

还有，100m的ddos算什么啊。

上次亚运会，北京的央视网站，ddos上g。

我以前的公司遭受一个ddos，2g的流量。就是针对你来得，当然是有备而来。你1g的流量，就不会来500m，你10m的接入，就不会3m的攻击。。

当然了，不是说现在的防火墙没用。对于小流氓，还是可以的。但是针对大流量，所有的都是白扯。

对付ddos就是比钱，比机器、比带宽，除非改写tcp/ip协议。