谁能帮我解决SYN FLOOD攻击的问题

ttvast

而开了syn cookie就是保证SYNC_RECV包不会占满队列的.

惠繪洋

不知道我用這個rule能否阻止syn flood呢, 請指教.

1. 
   
2. iptables -A INPUT -i $EXT_INTERFACE -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
   
3. iptables -N synfoold
   
4. iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
   
5. iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
   
6. iptables -A INPUT -i $EXT_INTERFACE -p tcp -m state --state NEW -j synfoold
   

复制代码

ttvast

不行
你限制1秒1个syn.那就是说,我只要有syn攻击你.其他用户能够连上你服务器的可能性几乎为0,你的服务依然被攻击了.

惠繪洋

原帖由 "ttvast" 发表：
不行
你限制1秒1个syn.那就是说,我只要有syn攻击你.其他用户能够连上你服务器的可能性几乎为0,你的服务依然被攻击了.

並不是太明白, 請再指教. 就iptables的rule應該如何更正.thanks.

SuperCube

[quote]原帖由 "ttvast"]而开了syn cookie就是保证SYNC_RECV包不会占满队列的.[/quote 发表：

不见得吧。
cookie的队列也是有大小的。如果大量的SYN FLOOD攻击包的话，完全添满cookie的队列也是有可能的。
如果将cookie的队列设置的太大，又会有性能上的问题，因为服务器从队列中取正常的请求是需要检索整个队列的。

ayazero

所有的措施都是徒劳的！

如果我试图扮演Attacker，我想没有东西可以挡得住syn-flood的DDOS，那真的如山洪、雪崩，见谁淹谁，把现在所有的解决方案&安全专家都请出来也无济于事

现在的所谓解决方案也只不过是针对“普通案例”

ttvast

原帖由 "SuperCube" 发表：

不见得吧。
cookie的队列也是有大小的。如果大量的SYN FLOOD攻击包的话，完全添满cookie的队列也是有可能的。
如果将cookie的队列设置的太大，又会有性能上的问题，因为服务器从队列中取正常的请求是需要检索整个..........

cookie是没有队列的.syn cookie根本就不是用队列机制来预防syn flood.

还有,我也相信所有常规的措施都是徒劳的,在面队流量攻击型的DDOS,和syn flood并没有关系.

Defense Pro号称使用某种syn cookie算法,可以处理500mbps流量的 syn包

ayazero

syn-flood也是有流量的，不然怎么有强和弱之分呢，只不过syn并不需要占满带宽而只需要填充队列，现在1G的syn-flood基本上就没有东西挡得住了

ttvast

不错, 1G的流量的SYN是没有什么能挡住的. 不过1G 流量的UDP/ICMP等一样也占满了你的带宽.
的确,500M的SYN已经很难挡住了.这点也算是SYN比一般的攻击有效一点的原因吧.500m/1g反正一般人都没有那么大带宽.
不过DDOS更强的使用完成握手的TCP连接,反正肉鸡够多,不是更加有效吗?

tutang

我好迷茫呀！