东坡网 - 更多系统软件下载,请关注东坡网:www.dongpow.com

当前位置:首页 > 系统教程 > Linux教程 > 详细页面

linux检测及防止DDOS攻击的技巧

时间:2023-03-16来源:东坡网作者:qipeng

  身为一个网站的站长,不仅要保证网站的流量提升,还要预防DDOS攻击,那么在Linux系统下要如何检测DDOS攻击呢?又该如何防止DDOS攻击呢?这都是一门学问。

linux检测及防止DDOS攻击的技巧

  1、利用netstat 工具来检测查看SYN连接

  netstat -n -p -t

  Active Internet connections (w/o servers)

  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

  tcp 0 0 192.168.0.200:5050 192.168.0.38:48892 TIME_WAIT -

  tcp 0 0 192.168.0.200:5050 192.168.0.38:36604 TIME_WAIT -

  tcp 0 0 192.168.0.200:5050 192.168.0.38:52988 TIME_WAIT -

  tcp 0 0 192.168.0.200:5050 192.168.0.38:38911 TIME_WAIT -

  tcp 0 0 192.168.0.200:5050 192.168.0.38:58623 TIME_WAIT -

  tcp 0 0 192.168.0.200:43690 192.168.0.200:61616 ESTABLISHED 10415/java

  当然我上面的都是正常连接。当然TIME_WAIT如果占比过多,肯定也是不正常的。(要么受到了攻击,要么需要参数调优。)

  而受到DDOS恶意攻击的情况下会在系统中看到的,很多连接处于SYN_RECV状态(在WINDOWS系统中是SYN_RECEIVED状态)源IP地址都是随机的,表明这是一种带有IP欺骗的SYN攻击。

  tcp 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV-

  tcp 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV-

  tcp 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-

  具体主机的端口状态有以下几种:

  CLOSED:无连接是活动的或正在进行

  LISTEN:服务器在等待进入呼叫

  SYN_RECV:一个连接请求已经到达,等待确认

  SYN_SENT:应用已经开始,打开一个连接

  ESTABLISHED:正常数据传输状态

  FIN_WAIT1:应用说它已经完成

  FIN_WAIT2:另一边已同意释放

  ITMED_WAIT:等待所有分组死掉

  CLOSING:两边同时尝试关闭

  TIME_WAIT:另一边已初始化一个释放

  LAST_ACK:等待所有分组死掉

  稍微更详细的说明可以看下百度百科上对ESTABLISHED状态的解释及延伸。

  具体SYN_RECV状态的统计比较多,我这里介绍两种脚本的写法:

  netstat -an | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’

  上面的脚本会列出所有状态的连接数。

  netstat -n -p -t | grep SYN_RECV | grep :80 | wc -l

  当然,上面80是特指web站点受到DDOS攻击。

  2、LINUX下DDOS SYN攻击的防范

  防范也主要从两方面入手,一是sysctl的自身的关于syn方面的配置,二是防火墙策略上。

  sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie,默认关闭

  sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列,默认1024,》 1280可能工作不稳定,需要修改内核源码参数

  sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2

  sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数,默认4

  以上四处是网上经常提到的几个地方,当然还有未提到的也可以通过下列命令查看。

  [root@web3 nginx]# sysctl -a|grep syn

  net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60

  net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120

  net.ipv4.tcp_max_syn_backlog = 1024

  net.ipv4.tcp_syncookies = 1

  net.ipv4.tcp_synack_retries = 5

  net.ipv4.tcp_syn_retries = 5

  fs.quota.syncs = 25

  如未受到攻击,上面的参数不建议修改。据说有增加主机的不稳定性的风险。

分享到:

相关信息

  • 如何安装Ubuntu系统?Ubuntu系统的安装教程

    Ubuntu 是一个启动速度超快、界面友好、安全性好的开源操作系统,它由全球顶尖开源软件专家开发,适用于桌面电脑、笔记本电脑等,并且它可以永久免费使用。很多朋友都不知道要怎么安装Ubuntu系统,那Ubuntu系统要怎么安装?...

    2023-03-16

  • Linux系统怎么分析Nginx日志?linux系统日志管理教程

    Linux系统下Nginx 日志可以查看系统运行记录和出错说明,对Nginx 日志的分析可以了解系统运行的状态。那么Linux系统Nginx日志怎么分析呢?...

    2023-03-16

系统教程栏目

栏目热门教程

人气教程排行

站长推荐

热门系统下载

公众号