讨论一下如何防范SYN-FLOOD攻击的问题

platinum

这个问题我也想到了
但是，一个单位的同事们会同时有20个人以上来访问吗？
何况HTTP协议不是一直ESTABLISHED的，读完网页就CLOSE
如果同一个IP有20个以上的ESTABLISHED，那肯定不正常
对吧：）

弱智

purge觉得这是一个方法，思路的问题。以前看到过这样的讨论。

比如，可以这样：

做防火墙的机子收到客户端的SYN包时，直接转发给服务器；

然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，不去管它；
另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手；这样，可以使服务器完成连接状态。

当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。
理由是：服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

没有实践过，但是这是一个思路。

platinum

……
去翻翻TCP/IP的资料先
然后想想实现的方法
……

windoze

原帖由 "弱智" 发表：
做防火墙的机子收到客户端的SYN包时，直接转发给服务器；
然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，不去管它；
另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手；这样，可以使服务器完成连接状态。
当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。

参见OpenBSD中pf的synproxy动作，例如：
pass in on $ext_if proto tcp from any to $web_server port www flags S/SA synproxy state

bingocn

原帖由 "弱智" 发表：
purge觉得这是一个方法，思路的问题。以前看到过这样的讨论。

比如，可以这样：

做防火墙的机子收到客户端的SYN包时，直接转发给服务器；

然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户..........

也不稳妥吧。
SYN半连接DOS，不是看消耗的资源多不多，而是到一定半连接数量时，服务器就不会接受SYN请求，这样来做到DOS，这个时候服务器资源占用的并不多。但你提出的完成握手，这样的话，系统很快可能达到进程/线程上限，整个系统的资源将有可能耗尽，比上一种情况更危险。
我是这么理解的 ：）

q1208c

如果是正常的SYN是没办法的，因为，你总不能不让别人用吧？

如果是非正常的SYN，好象有办法吧？

andyliu

原帖由 "弱智" 发表：
purge觉得这是一个方法，思路的问题。以前看到过这样的讨论。

比如，可以这样：

做防火墙的机子收到客户端的SYN包时，直接转发给服务器；

然后，收到服务器回应的SYN/ACK包后，一方面将SYN/ACK包转发给客户..........

问题是，怎么实现。如果把所有的SYN包现交给firewall,firewall又如何判别哪个包是合法的，哪些是不合法的。如果firewall无法判别，那垮掉的虽然不是apache server,但一定会使firewall，造成的损失更严重不是吗。

JohnBull

如果不从根本上修改TCP协议,TCP的SYN_FLOOD根本无法预防!
参见:
http://bbs.chinaunix.net/forum/viewtopic.php?t=23116&highlight=JohnBull

现在在Liunx平台上可以考虑用SCTP取代TCP.

xichen

对于syn攻击，有几种方法可以防御。
1、最有效的，增加带宽，做集群。
2、使用基于状态的防火墙，也就是以上各位说的三次握手。
3、从交换机上监听网络上的syn数据，当发送了syn包到服务器后，该地址一定时间内没有继续发送剩下的两个包。程序就冒充改ip和端口发送端开的IP包。

不能通过shell来解决，因为攻击者的IP和端口都是假冒的。

freebsd有非官方的解决方法，对dos有效，但是对ddos无法抵抗。
对于提供网络服务的话，我建议大家使用freebsd系统，毕竟是血统最纯正的unix系统，而且运算速度和网络响应速度比linux要高。

platinum

我那天用的那个攻击软件，是用真IP进行攻击的，netstat -an看到的是我的私网IP地址

另外“程序就冒充改ip和端口发送端开的IP包”这句不是很明白……