小雪尝禁果又粗又大的视频,人妻中文乱码在线网站,江苏少妇性BBB搡BBB爽爽爽,AV片在线观看免费

行業(yè)資訊

  • 首頁
  • 新聞中心
  • 行業(yè)資訊

服務(wù)器遭到SYN攻擊怎么處理?如何更高效防御SYN攻擊?宇眾網(wǎng)絡(luò)

2019年07月01日

SYN洪水攻擊是DDOS攻擊中最常見的攻擊類型之一。是一種利用TCP 協(xié)議缺陷,攻擊者向被攻擊的主機(jī)發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方主機(jī)服務(wù)器的資源耗盡(CPU 滿負(fù)荷或內(nèi)存不足) 的攻擊方式。SYN攻擊的目標(biāo)不止于服務(wù)器,任何網(wǎng)絡(luò)設(shè)備,都可能會受到這種攻擊,針對網(wǎng)絡(luò)設(shè)備的SYN攻擊往往會導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。企業(yè)遭到SYN攻擊該如何防御呢?墨者安全通過以往的高防經(jīng)驗(yàn)來分享一下如何利用iptables來緩解SYN攻擊。

1、修改等待數(shù)

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

 

2、啟用syncookies

sysctl -w net.ipv4.tcp_syncookies=1

 

3、修改重試次數(shù)

sysctl -w net.ipv4.tcp_syn_retries = 0

重傳次數(shù)設(shè)置為0,只要收不到客戶端的響應(yīng),立即丟棄該連接,默認(rèn)設(shè)置為5次

 

4、限制單IP并發(fā)數(shù)

使用iptables限制單個(gè)地址的并發(fā)連接數(shù)量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT

 

5、限制C類子網(wǎng)并發(fā)數(shù)

使用iptables限制單個(gè)c類子網(wǎng)的并發(fā)鏈接數(shù)量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT

 

6、限制單位時(shí)間內(nèi)連接數(shù)

設(shè)置如下:

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --set

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --update --seconds 60 --hitcount 30 -j DROP

 

7、修改modprobe.conf

為了取得更好的效果,需要修改/etc/modprobe.conf

options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

作用:記錄10000個(gè)地址,每個(gè)地址60個(gè)包,ip_list_tot最大為8100,超過這個(gè)數(shù)值會導(dǎo)致iptables錯(cuò)誤

 

8、限制單個(gè)地址最大連接數(shù)

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j D

通過上述這些設(shè)置,可以緩解SYN攻擊帶來的影響,但如果遭到幾百幾千G的T級流量洪水攻擊,那只能選擇像墨者安全那樣的商業(yè)級的防DDOS服務(wù)了。墨者盾高防可以隱藏服務(wù)器真實(shí)IP,利用新的WAF算法過濾技術(shù),清除DDOS異常流量,保障服務(wù)器正常運(yùn)行。

宇眾網(wǎng)絡(luò)科技bjsuncity.com-最專業(yè)的服務(wù)器供應(yīng)商,提供各大骨干機(jī)房服務(wù)器租用,高防御大帶寬,更強(qiáng)的世界盾盾防御www.dun.world

客服