几天以来的防御syn flood攻击心得

benz-popor

太好了，受益很深，希望高手们说一下学习大概都学什么，等打好了基础也去北京牛老师的培训班学习，希望能有这个机会。目前手头有本unix系统管理手册（第三版）不过感觉对我帮助不是太大，因为对于unix及至linux只是刚刚接触而已，学习要从基础学起。现在先把应用学起来再去学原理和底层的东西，期待高手们的一点点指点。

[ 本帖最后由 benz-popor 于 2007-4-28 11:39 编辑 ]

wildlily980

文章很好，字也够大。

good白芷

原帖由 wddllyy 于 2004-9-17 22:31 发表
[quote]原帖由 "freeand"]早几年的攻击都是假IP了，一次变一个，怎么防？？？！！！[/quote 发表：

这个除了改进协议，提高挨打能力，还有还有一种退让策略外我想不会有什么简单的方法?

可 ...

恩 这里可以用1个小的技巧
对于常见的DDoS而言，都是用工具来做的，
那么，针对用1个ip来做连接的，可以向楼主一样用连接数限制来控制；
针对每次变一个ip的。可以这样，当总连接数大于一个阀值时，对于所有ip的第一次syn不做回应。正常连接会重新发包过来，而DDoS工具通常是不会这么做的。也就能起到防护作用了。
这2个综合就可以解决大部分现有的基于工具的DDoS攻击了。

当然，还可以采用syn cookie一类的方法，将syn连接前移，修改半开放连接的队列算法。
或者，如果有资源，可以采用蜜罐的手法，在1个ip段中其实只有1个是服务器ip，其他的是蜜罐，如果有来访问蜜罐ip的，基本上是攻击，则暂封了他到服务器ip的连接，让他在蜜罐里面耗资源去吧。

wingjing

不错....虽然看的半晕.