讨论一下如何防范SYN-FLOOD攻击的问题

JohnBull

原帖由 "xichen" 发表：
对于syn攻击，有几种方法可以防御。
1、最有效的，增加带宽，做集群。
2、使用基于状态的防火墙，也就是以上各位说的三次握手。
3、从交换机上监听网络上的syn数据，当发送了syn包到服务器后，该地址一定时间内没..........

别想了.
SCO公司大不大?APPLE公司大不大?MICROSOFT大不大?
那样的带宽和集群一样被DOS.所以增加带宽太被动了.
基于状态的防火墙也属骗人.参见我上面的引文.
交换机假冒握手更是掩耳盗铃的馊主意.殊不知一个进程可以同时打开的文件描述符有上限乎?你知道FreeBSD系统下的一个进程最多可以打开多少文件吗?那样不过是把第4层的DOS变成了第7层的DOS而已.

这一切的根本原因在于当初设计TCP/IP的时候,没有想到现在的网络环境这么复杂,没有预先充分地预防.
等SCTP取代了TCP后,这个问题就好多了.

platinum

看来只能“改善”，不能“根治”，除非不用TCP

zjnet1

原帖由 "xichen" 发表：
对于syn攻击，有几种方法可以防御。
1、最有效的，增加带宽，做集群。
2、使用基于状态的防火墙，也就是以上各位说的三次握手。
3、从交换机上监听网络上的syn数据，当发送了syn包到服务器后，该地址一定时间内没..........

以apache服务为例：
比较赞同这种说法的：
1.用硬件防火墙，（觉得这是最主要的手段）
2.用硬件均衡负载设备，如 Alton,load director等；
3.apache集群；
4.限制apache服务的参数，最高CPULimit，和MemLimit，限制最长URL，限制最大bodyrequest。apache里面也做了不少能够防止DoS的工作的，大家见仁见智根据自己的机器配置进行配置。

从安全和性能之间取一个平衡。

xichen

原帖由 "platinum" 发表：
我那天用的那个攻击软件，是用真IP进行攻击的，netstat -an看到的是我的私网IP地址

另外“程序就冒充改ip和端口发送端开的IP包”这句不是很明白……

错字，是断开。现在好点的交换机都有监听端口，能听到交换机里面的所有传输数据。在这里保留这个交换机所有的syn包的状态，一般来说，三次握手的延时不会超过5秒，但是对于旧内核的linux，这个超时时间最长能达到大约5天。
那么可以在超过5秒还没有接收到后续的两个包的时候，可以发送RST（记不清楚是否是这个包了）包，来让被dos攻击的服务器认为客户端已经断开了连接，从而释放了这个连接。
当然ddos攻击是任何系统任何设备都无法抵挡的，我们能做的只是让系统尽量的抵御攻击。
还有，现在高手门已经通过将一个syn包分解为多个IP包的方式来穿越防火墙，这个包不会被普通防火墙所识别，但是却能在系统内核重组成一个完成的syn包来达到攻击目的。

关于源地址和端口号发生变化，这是一般dos工具都具备的，你可以参考网卡的RAW（混杂）工作模式。欣慰的是一般ISP的路由器都不允许不属于这个网段的IP包的通过。给我们查找攻击者带来方便，并从一定程度上阻碍了dos攻击

JohnBull

原帖由 "xichen" 发表：

那么可以在超过5秒还没有接收到后续的两个包的时候，可以发送RST（记不清楚是否是这个包了）包，来让被dos攻击的服务器认为客户端已经断开了连接，从而释放了这个连接。

RST没用的,应该FIN.
但这么做与SYN COOKIE或者六次握手从效果上有什么本质区别呢?况且你还得要求交换机有SPAN口以及增加新设备.

原帖由 "xichen" 发表：

还有，现在高手门已经通过将一个syn包分解为多个IP包的方式来穿越防火墙，这个包不会被普通防火墙所识别，但是却能在系统内核重组成一个完成的syn包来达到攻击目的。

这个方法也早就过时了,现在Linux防火墙能搞定这种攻击,不知FreeBSD\行否.

原帖由 "xichen" 发表：

关于源地址和端口号发生变化，这是一般dos工具都具备的，你可以参考网卡的RAW（混杂）工作模式。欣慰的是一般ISP的路由器都不允许不属于这个网段的IP包的通过。给我们查找攻击者带来方便，并从一定程度上阻碍了dos攻击

网卡的混杂模式是作用于接收报文的时候,与发送无关. 而RAW是TCP/IP套接字的一种工作模式,与网卡无关.路由器也不能得知一个数据包里面的传输层会话在端系统上究竟是什么方式打开的.

我没有别的意思,只是想说TCP半连接洪水是没有办法的,不要再误导初学者了,凡声称在不修改TCP的情况下解决了SYN FLOOD问题的软/硬件厂家都是骗子,跟大街上的一针根治牛皮癣广告一样.很多人片面强调DoS与DDoS的差异,其实二者技术本质没有差异!你提到的那些方法,都可以有针对性地进行反制.

platinum

如果这样，网络中的服务不就没有任何安全可言了吗，想让谁OVER谁就OVER

q1208c

我想楼上的大哥说的有点问题，sco, m$, apple 是被DDoS攻击了吧？DoS还是有办法的吧？

platinum

DOS有办法，DDOS没办法
我就是想知道DOS的解决办法，但现在有点搞不清DOS和DDOS的区别了……

fushuyong

这个是没有办法彻底的防止的，这本身就是TCP协议的设计“缺陷”，只能通过变通的方法来提高系统抵御半开连接的能力。

xichen

JohnBull可能有点误解我的意思了，RAW工作模式是我在描述如何用编程方法来实现假冒IP和端口。
路由器因为禁止了非本网段IP地址的通过，一个是容易查出攻击者，一个是使产生的syn包的数量减少了。