• 有关 SYN_RECV 的知识和防止DOS攻击
    时间:2008-12-06   作者:佚名   出处:互联网

    相信很多服务器都碰到过DOS攻击,服务器因连接过多而无法相应,查看连接状态,就会有N多 SYN_RECV,下面就谈下有关 SYN_RECV 方面的东东!

    网页在翻页到一个特定的页面的时候,和服务器80端口的连接被中止。
    查看了netstat -anlp 发现有类似以下的记录,而IP就是我的。

    tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 SYN_RECV -

    由于可能是程序的问题,因为仅仅在浏览这张网页的时候会出现这个问题,但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下,在此总结一下。

    1.对于大量的 SYN_RECV
    若怀疑是SYN Flood攻击,有以下建议:

    这个攻击的解决方法如下:
    1,增加未完成连接队列(q0)的最大长度。
    echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
    2, 启动SYN_cookie。
    echo 1>/proc/sys/net/ipv4/tcp_syncookies
    这些是被动的方法,治标不治本。而且加大了服务器的负担,但是可以避免被拒绝攻击(只是减缓)
    治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中

    如果对 /proc/sys/net/ipv4 下的配置文件进行解释,可以参阅

    LinuxAid技术站的文章

    。查看本文全文也可以参阅。

    关于 syn cookies, 请参阅

    <> http://cr.yp.to/syncookies.html

    也许

    使用mod_limitipconn.c来限制apache的并发数

    也会有一定的帮助。

    最终,仅仅修改了这个参数,但是也加上了iptables的防火墙规则,问题解决。

    2.什麼是 TCP SYN Flood 攻擊?
    發表日期: 星期二, 15 六月 2004 @ 01:36:47 台北標準時間

    TCP SYN Flood是一種常見,而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式,它透過一定的操作破壞TCP三次握手建立正常連接,佔用並耗費系統資源,使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的,它可以在任意改變自己的網路IP地址的同時,不被網路上的其他設備所識別,這樣就給防範網路犯 罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中,這種攻擊屢見不鮮。在一個拍賣網站上,曾經有犯罪分子利用這種手段,在低價位時阻止其他用戶繼續對商品拍賣,干擾拍賣過程的正常運 作。

    系統檢查
    一般情況下,可以一些簡單步驟進行檢查,來判斷系統是否正在遭受TCP SYN Flood攻擊。

    1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。
    2、透過 netstat -an 命令檢查系統,發現有大量的SYN_RECV連接狀態。

    3. iptables的设置,引用自CU

    防止同步包洪水(Sync Flood)
    # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    也有人写作
    #iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
    --limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
    防止各种端口扫描
    # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    Ping洪水攻击(Ping of Death)
    # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    附:


    Iptables 指南 1.1.19

    防火墙例子:


    在Linux上使用iptables命令,建立一个个人防火墙

    参阅:

    proc文件系统面面谈

    http://www.linuxaid.com.cn 02-01-16 21:34 5467p ideal
    ----------------------------------------------------------------------

    什么是proc文件系统

    proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可 以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件 系统是动态从系统内核读出所需信息并提交的。它的目录结构如下:

    目录名称 目录内容
    apm 高级电源管理信息
    cmdline 内核命令行
    Cpuinfo 关于Cpu信息
    Devices 可以用到的设备(块设备/字符设备)
    Dma 使用的DMA通道
    Filesystems 支持的文件系统
    Interrupts 中断的使用
    Ioports I/O端口的使用
    Kcore 内核核心印象
    Kmsg 内核消息
    Ksyms 内核符号表
    Loadavg 负载均衡
    Locks 内核锁
    Meminfo 内存信息
    Misc 杂项
    Modules 加载模块列表
    Mounts 加载的文件系统
    Partitions 系统识别的分区表
    Rtc 实时时钟
    Slabinfo Slab池信息
    Stat 全面统计状态表
    Swaps 对换空间的利用情况
    Version 内核版本
    Uptime 系统正常运行时间

    并不是所有这些目录在你的系统中都有,这取决于你的内核配置和装载的模块。另外,在/proc下还有三个很重要的目录:net,scsi和sys。 Sys目录是可写的,可以通过它来访问或修改内核的参数(见下一部分),而net和scsi则依赖于内核配置。例如,如果系统不支持scsi,则scsi 目录不存在。

    除了以上介绍的这些,还有的是一些以数字命名的目录,它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的 PID号为目录名,它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口,是一个link。Proc文件系统的名字就是由之而起。进程目 录的结构如下:

    目录名称 目录内容
    Cmdline 命令行参数
    Environ 环境变量值
    Fd 一个包含所有文件描述符的目录
    Mem 进程的内存被利用情况
    Stat 进程状态
    Status 进程当前状态,以可读的方式显示出来
    Cwd 当前工作目录的链接
    Exe 指向该进程的执行命令文件
    Maps 内存映象
    Statm 进程内存状态信息
    Root 链接此进程的root目录

    用户如果要查看系统信息,可以用cat命令。例如:

    # cat /proc/interrupts
    CPU0
    0: 8728810 XT-PIC timer
    1: 895 XT-PIC keyboard
    2: 0 XT-PIC cascade
    3: 531695 XT-PIC aha152x
    4: 2014133 XT-PIC serial
    5: 44401 XT-PIC pcnet_cs
    8: 2 XT-PIC rtc
    11: 8 XT-PIC i82365
    12: 182918 XT-PIC Mouse
    13: 1 XT-PIC fpu PS/2
    14: 1232265 XT-PIC ide0
    15: 7 XT-PIC ide1
    NMI: 0

    用户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录:/proc/sys。它不仅提供了内核信息,而且可以通过它修改内核参数,来优化你的系统。但是你必须很小心,因为可能会造成系统崩溃。最好是先找一台无关紧要的机子,调试成功后再应用到你的系统上。

    要改变内核的参数,只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子:

    # cat /proc/sys/fs/file-max
    4096
    # echo 8192 > /proc/sys/fs/file-max
    # cat /proc/sys/fs/file-max
    8192

    如果你优化了参数,则可以把它们写成添加到文件rc.local中,使它在系统启动时自动完成修改。

    /proc文件系统中网络参数

    在/proc/sys/net/ipv4/目录下,包含的是和tcp/ip协议相关的各种参数,下面我们就对这些网络参数加以详细的说明。

    ip_forward 参数类型:BOOLEAN
    0 - 关闭(默认值)
    not 0 - 打开ip转发

    在网络本地接口之间转发数据报。该参数非常特殊,对该参数的修改将导致其它所有相关配置参数恢复其默认值(对于主机参阅RFC1122,对于路由器参见RFC1812)

    ip_default_ttl 参数类型:INTEGER
    默认值为 64 。表示IP数据报的Time To Live值。

    ip_no_pmtu_disc 参数类型:BOOLEAN
    关闭路径MTU探测,默认值为FALSE

    ipfrag_high_thresh 参数类型:整型
    用来组装分段的IP包的最大内存量。当ipfrag_high_thresh数量的内存被分配来用来组装IP包,则IP分片处理器将丢弃数据报直到ipfrag_low_thresh数量的内存被用来组装IP包。

    ipfrag_low_thresh 参数类型:整型
    参见ipfrag_high_thresh。

    ipfrag_time 参数类型:整型
    保存一个IP分片在内存中的时间。

    inet_peer_threshold 参数类型:整型
    INET对端存储器某个合适值,当超过该阀值条目将被丢弃。该阀值同样决定生存时间以及废物收集通过的时间间隔。条目越多﹐存活期越低﹐GC 间隔越短

    inet_peer_minttl 参数类型:整型
    条目的最低存活期。在重组端必须要有足够的碎片(fragment)存活期。这个最低存活期必须保证缓冲池容积是否少于 inet_peer_threshold。该值以 jiffies为单位测量。

    inet_peer_maxttl 参数类型:整型
    条目的最大存活期。在此期限到达之后﹐如果缓冲池没有耗尽压力的话(例如﹐缓冲池中的条目数目非常少)﹐不使用的条目将会超时。该值以 jiffies为单位测量。

    inet_peer_gc_mintime 参数类型:整型
    废物收集(GC)通过的最短间隔。这个间隔会影响到缓冲池中内存的高压力。 该值以 jiffies为单位测量。

    inet_peer_gc_maxtime 参数类型:整型
    废物收集(GC)通过的最大间隔,这个间隔会影响到缓冲池中内存的低压力。 该值以 jiffies为单位测量。

    tcp_syn_retries 参数类型:整型
    对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右。

    tcp_synack_retries 参数类型:整型
    对于远端的连接请求SYN,内核会发送SYN + ACK数据报,以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。

    tcp_keepalive_time 参数类型:整型
    当keepalive打开的情况下,TCP发送keepalive消息的频率,默认值是2个小时。

    tcp_keepalive_probes 参数类型:整型
    TCP发送keepalive探测以确定该连接已经断开的次数,默认值是9。

    tcp_keepalive_interval 参数类型:整型
    探测消息发送的频率,乘以tcp_keepalive_probes就得到对于从开始探测以来没有响应的连接杀除的时间。默认值为75秒,也就是没有活动的连接将在大约11分钟以后将被丢弃。

    tcp_retries1 参数类型:整型
    当出现可疑情况而必须向网络层报告这个可疑状况之前﹐需要进行多少次重试。最低的 RFC 数值是 3 ﹐这也是默认值﹐根据RTO的值大约在3秒 - 8分钟之间。

    tcp_retries2 参数类型:整型
    在丢弃激活的TCP连接之前﹐需要进行多少次重试。RFC1122规定,该值必须大于100秒。默认值为15,根据RTO的值来决定,相当于13-30分钟,

    tcp_orphan_retries 参数类型:整型
    在近端丢弃TCP连接之前﹐要进行多少次重试。默认值是 7 个﹐相当于 50秒 - 16分钟﹐视 RTO 而定。如果您的系统是负载很大的web服务器﹐那么也许需要降低该值﹐这类 sockets 可能会耗费大量的资源。另外参的考 tcp_max_orphans 。

    tcp_fin_timeout 参数类型:整型
    对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值﹐但需要注意﹐如果您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1 ﹐因为它们最多只吃 1.5K 的内存﹐但是它们存在时间更长。另外参考 tcp_max_orphans。

    tcp_max_tw_buckets 参数类型:整型
    系统在同时所处理的最大timewait sockets 数目。如果超过此数的话﹐time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要人为的降低这个限制﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。

    tcp_tw_recycle 参数类型:布尔
    打开快速 TIME-WAIT sockets 回收。默认值是1。除非得到技术专家的建议或要求﹐请不要随意修改这个值。

    tcp_max_orphans 参数类型:整型
    系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量﹐那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要依赖这个或是人为的降低这个限制

    tcp_abort_on_overflow 参数类型:布尔
    当守护进程太忙而不能接受新的连接,就象对方发送reset消息,默认值是false。这意味着当溢出的原因是因为一个偶然的猝发,那么连接将恢复状态。只有在你确信守护进程真的不能完成连接请求时才打开该选项,该选项会影响客户的使用。

    tcp_syncookies 参数类型:整型
    只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。默认值是false。

    注意:该选项千万不能用于那些没有收到攻击的高负载服务器,如果在日志中出现synflood消息,但是调查发现没有收到synflood攻击,而 是合法用户的连接负载过高的原因,你应该调整其它参数来提高服务器性能。参考: tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow.

    syncookie严重的违背TCP协议,不允许使用TCP扩展,可能对某些服务导致严重的性能影响(如SMTP转发)。

    tcp_stdurg 参数类型:整型
    使用 TCP urg pointer 字段中的主机请求解释功能。大部份的主机都使用老旧的 BSD解释,因此如果您在 Linux 打开它﹐或会导致不能和它们正确沟通。默认值为为﹕FALSE

    tcp_max_syn_backlog 参数类型:整型
    对于那些依然还未获得客户端确认的连接请求﹐需要保存在队列中最大数目。对于超过 128Mb 内存的系统﹐默认值是 1024 ﹐低于 128Mb 的则为 128。如果服务器经常出现过载﹐可以尝试增加这个数字。警告﹗假如您将此值设为大于 1024﹐最好修改 include/net/tcp.h 里面的 TCP_SYNQ_HSIZE ﹐以保持 TCP_SYNQ_HSIZE*16<=tcp_max_syn_backlog ﹐并且编进核心之内。

    tcp_window_scaling 参数类型:布尔
    正常来说,TCP/IP 可以接受最大到65535字节的 windows。对于宽带网络,该值可能是不够的,通过调整该参数有助于提高宽带服务器性能。

    tcp_timestamps 参数类型:布尔
    Timestamps 用在其它一些东西中﹐可以防范那些伪造的 sequence 号码。一条1G的宽带线路或许会重遇到带 out-of-line数值的旧sequence 号码(假如它是由于上次产生的)。Timestamp 会让它知道这是个 '旧封包'。

    tcp_sack 参数类型:布尔
    使用 Selective ACK﹐它可以用来查找特定的遗失的数据报--- 因此有助于快速恢复状态。

    tcp_fack 参数类型:布尔
    打开FACK拥塞避免和快速重传功能。

    tcp_dsack 参数类型:布尔
    允许TCP发送"两个完全相同"的SACK。

    tcp_ecn 参数类型:布尔
    打开TCP的直接拥塞通告功能。

    tcp_reordering 参数类型:整型
    TCP流中重排序的数据报最大数量默认值是 3 。

    tcp_retrans_collapse 参数类型:布尔
    对于某些有bug的打印机提供针对其bug的兼容性。

    tcp_wmem - 三个整数的向量: min, default, max
    min:为TCP socket预留用于发送缓冲的内存最小值。每个tcp socket都可以在建议以后都可以使用它。默认值为4K。

    default:为TCP socket预留用于发送缓冲的内存数量,默认情况下该值会影响其它协议使用的net.core.wmem_default 值,一般要低于net.core.wmem_default的值。默认值为16K。

    max: 用于TCP socket发送缓冲的内存最大值。该值不会影响net.core.wmem_max,今天选择参数SO_SNDBUF则不受该值影响。默认值为128K。

    tcp_rmem - 三个整数的向量: min, default, max
    min:为TCP socket预留用于接收缓冲的内存数量,即使在内存出现紧张情况下tcp socket都至少会有这么多数量的内存用于接收缓冲,默认值为8K。

    default:为TCP socket预留用于接收缓冲的内存数量,默认情况下该值影响其它协议使用的 net.core.wmem_default 值。该值决定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win:0是默认值情况下,tcp 窗口大小为65535。

    max:用于TCP socket接收缓冲的内存最大值。该值不会影响 net.core.wmem_max,今天选择参数 SO_SNDBUF则不受该值影响。默认值为 128K。默认值为87380*2 bytes。

    tcp_mem - 三个整数的向量: low, pressure, high
    low:当TCP使用了低于该值的内存页面数时,TCP不会考虑释放内存。

    pressure:当TCP使用了超过该值的内存页面数量时,TCP试图稳定其内存使用,进入pressure模式,当内存消耗低于low值时则退出pressure状态。

    high:允许所有tcp sockets用于排队缓冲数据报的页面量。

    一般情况下这些值是在系统启动时根据系统内存数量计算得到的。

    tcp_app_win - 整数

    保留max(window/2^tcp_app_win, mss)数量的窗口由于应用缓冲。当为0时表示不需要缓冲。默认值是31。

    tcp_adv_win_scale - 整数
    计算缓冲开销bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale > 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale <= 0),默认值为2。

    ip_local_port_range - 两个整数
    定于TCP和UDP使用的本地端口范围,第一个数是开始,第二个数是最后端口号,默认值依赖于系统中可用的内存数:
    > 128Mb 32768-61000
    < 128Mb 1024-4999 or even less.
    该值决定了活动连接的数量,也就是系统可以并发的连接数

    icmp_echo_ignore_all - 布尔类型
    icmp_echo_ignore_broadcasts - 布尔类型
    如果任何一个设置为true(>0)则系统将忽略所有发送给自己的ICMP ECHO请求或那些广播地址的请求。

    icmp_destunreach_rate - 整数
    icmp_paramprob_rate - 整数
    icmp_timeexceed_rate - 整数
    icmp_echoreply_rate - 整数(not enabled per default)
    限制发向特定目标的ICMP数据报的最大速率。0表示没有任何限制,否则表示jiffies数据单位中允许发送的个数。

    icmp_ignore_bogus_error_responses - 布尔类型
    某些路由器违背RFC1122标准,其对广播帧发送伪造的响应来应答。这种违背行为通常会被以告警的方式记录在系统日志中。如果该选项设置为True,内核不会记录这种警告信息。默认值为False。

    (1) Jiffie: 内核使用的内部时间单位,在i386系统上大小为1/100s,在Alpha中为1/1024S。在/usr/include/asm/param.h中的HZ定义有特定系统的值。

    conf/interface/*:
    conf/all/*是特定的,用来修改所有接口的设置,is special and changes the settings for all interfaces.
    Change special settings per interface.

    log_martians - 布尔类型
    记录带有不允许的地址的数据报到内核日志中。

    accept_redirects - 布尔类型
    收发接收ICMP重定向消息。对于主机来说默认为True,对于用作路由器时默认值为False。

    forwarding - 布尔类型
    在该接口打开转发功能

    mc_forwarding - 布尔类型
    是否进行多播路由。只有内核编译有CONFIG_MROUTE并且有路由服务程序在运行该参数才有效。

    proxy_arp - 布尔类型
    打开proxy arp功能。

    shared_media - 布尔类型
    发送(路由器)或接收(主机) RFC1620 共享媒体重定向。覆盖ip_secure_redirects的值。默认为True。

    secure_redirects - 布尔类型
    仅仅接收发给默认网关列表中网关的ICMP重定向消息,默认值是TRUE。

    send_redirects - 布尔类型
    如果是router,发送重定向消息,默认值是TRUE

    bootp_relay - 布尔类型
    接收源地址为0.b.c.d,目的地址不是本机的数据报。用来支持BOOTP转发服务进程,该进程将捕获并转发该包。默认为False,目前还没有实现。

    accept_source_route - 布尔类型
    接收带有SRR选项的数据报。对于主机来说默认为False,对于用作路由器时默认值为True。

    rp_filter 参数类型

    1 - 通过反向路径回溯进行源地址验证(在RFC1812中定义)。对于单穴主机和stub网络路由器推荐使用该选项。

    0 - 不通过反向路径回溯进行源地址验证。

    默认值为0。某些发布在启动时自动将其打开。

    网友留言/评论

    我要留言/评论