2. 程式人生 > >Linux安全之SYN攻擊原理及其應對措施

Linux安全之SYN攻擊原理及其應對措施

阿新 發佈:2018-12-27

TCP自從1974年被髮明出來之後,歷經30多年發展,目前成為最重要的網際網路基礎協議,但TCP協議中也存在一些缺陷。

SYN攻擊就是利用TCP協議的缺陷,來導致系統服務停止正常的響應。

SYN攻擊原理:

sync_gongji

TCP在傳遞資料前需要經過三次握手,SYN攻擊的原理就是向伺服器傳送SYN資料包,並偽造源IP地址。

伺服器在收到SYN資料包時,會將連線加入backlog佇列,並向源IP傳送SYN-ACK資料包,並等待ACK資料包,以完成三次握手建立連線。

由於源IP地址是偽造的不存在主機IP,所以伺服器無法收到ACK資料包,並會不斷重發,同時backlog佇列被不斷被攻擊的SYN連線佔滿,導致無法處理正常的連線。

SYN攻擊的應對措施

針對SYN攻擊的幾個環節,提出相應的處理方法:

方式1:減少SYN-ACK資料包的重發次數(預設是5次):
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3

方式2:使用SYN Cookie技術:
sysctl -w net.ipv4.tcp_syncookies=1

方式3:增加backlog佇列(預設是1024):
sysctl -w net.ipv4.tcp_max_syn_backlog=2048

方式4:限制SYN併發數:
iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT –limit 1/s

==============================================

原文出處:http://www.cnblogs.com/ym123/p/4564311.html

相關推薦

Linux安全SYN攻擊原理及其應對措施

TCP自從1974年被髮明出來之後,歷經30多年發展,目前成為最重要的網際網路基礎協議,但TCP協議中也存在一些缺陷。 SYN攻擊就是利用TCP協議的缺陷,來導致系統服務停止正常的響應。 SYN攻擊原理: TCP在傳遞資料前需要經過三次握手,SYN攻擊的原理就是向伺服器傳送SYN資料包,並偽造源I

web安全XSS攻擊原理及防範

閱讀目錄 一:什麼是XSS攻擊? 二:反射型XSS 三:儲存型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防範? 1. cookie安全策略 2. X-XSS-Protection設定 3. XSS防禦HTML編碼 4. XSS 防禦HTML Attrib

syn攻擊原理與防護措施

何為syn攻擊?   先普及下tcp3次握手的知識,在TCP/IP中,tcp協議提供可靠的socket連線服務,通過3次握手建立可靠連線。 tcp3次握手過程:   第一階段:某終端向伺服器傳送syn(syn=x)請求訊息,並進入SYN_SEND狀態   第二階段:伺服器收

Web安全CSRF攻擊

for idt 例子 expr 由於 不能 防止 失效 內容 一、CSRF是什麽? CSRF(Cross Site Request Forgery),中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之後,誘使用戶訪問一個攻擊頁面,利用目標網站對用戶的信任,以用戶身

Mysql閃回工具binlog2sql的原理及其使用

生產上誤刪資料、誤改資料的現象也是時常發生的現象,作為 DBA 這時候就需要出來補鍋了,最開始的做法是恢復備份,然後從中找到需要的資料再進行修復,但是這個時間太長了,對於大表少數資料的修復來講,動作太大,成本也大。 當然還有其他的一些操作方法,我們今天有主角。 MySQL 閃回工具 -- &nb

linux安全歷史命令追蹤

修改配置檔案檢視任何登入主機的使用者在任何時間執行的任何命令 一 為history 命令新增日期時間顯示 [[email protected] ~]# vim /etc/bashrc HISTTIMEFORMAT="%Y-%m-%d:%H-%M-%S:`whoami`: "

PHP安全Web攻擊

一、SQL注入攻擊 表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。 系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果使用者的帳戶具有管理員或其

web安全 xss攻擊

xss攻擊的全稱是Cross-Site Scripting (XSS)攻擊,是一種注入式攻擊。基本的做法是把惡意程式碼注入到目標網站。由於瀏覽器在開啟目標網站的時候並不知道哪些指令碼是惡意的,所以瀏覽器會無差別執行惡意指令碼,從而導致使用者資訊和一些敏感資訊被盜取和洩漏

網路安全---Cookie攻擊與防範技術

下面總結一下常見的Cookie攻擊和防禦的過程和步驟: Cookie欺騙攻擊(瞭解欺騙原理) 1)Cookie資訊保安隱患 持久Cookie

前端安全XSS攻擊

change 剔除 數據解析 樣式 insert xss攻擊 fun area ech XSS定義 XSS, 即為(Cross Site Scripting), 中文名為跨站腳本, 是發生在目標用戶的瀏覽器層面上的,當渲染DOM樹的過程成發生了不在預期內執行的JS代碼時,就

SSL/TLS安全——中間人攻擊(MITM)淺析

  首先需要理解SSL/TLS協議的原理,然後我們通過Burpsuite對HTTPS資料包進行抓包,來簡單討論中間人攻擊的實現場景。 一、SSL握手協議 1.客戶端生成相關引數 -> a)協議版本號 b)隨機數(cRandom) c)加密

Linux驅動Nand Flash原理及硬體操作

Nand Flash 是一個儲存晶片 那麼:這樣的操作很理“ 讀地址A的資料,把資料B寫到地址A” 問1:原理圖上的Nand Flash和SC2440之間只有資料線,怎麼傳輸地址? 答:在Data0-Data7上既傳輸資料,又傳輸地址,當ALE為高電平時傳輸的是地址

萌新筆記鴿巢原理及其應用

前言:本萌新這裡的筆記基本摘自於書+一些自己的淺層理解,如有錯誤請吐槽!歡迎指正! 鴿巢原理 定理: 如果n+1個物體,被放入n個盒子,那麼至少有一個盒子包含兩個或多個物體。(這一點無需證明也能理解吧

Linux 安全SSH後門

http://redkey.blog.51cto.com/335290/1345091 一.檢視SSH版本 [[email protected] vmshare]# ssh -V OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29

Linux安全SSH 密鑰創建及密鑰登錄,禁止密碼登陸

onf 但是 set 必須 兩個 過程 strong tps 全部 //參考原文鏈接 他們有圖哦https://blog.csdn.net/nahancy/article/details/79059135 http://www.runoob.com/w3cnote/set

【轉載】CSRF攻擊及其應對

詳細 訪問 選擇 nbsp tel appendto 局限 登陸 mail   在我最開始接觸JavaEE時,我工作的第一個內容就是解決項目中存在的CSRF漏洞,當時的解決方法是在Referer添加token的方法。我對CSRF攻擊的主要認知和解決的大部分思路都來自於這篇文

Linux網路程式設計SYN洪水攻擊

1.概述 TCP建立連線需要3次握手,從IP層來看,客戶端傳送SYN請求,伺服器對SYN響應,而客戶端對伺服器的響應再次確認才能建立連線。在伺服器響應之後,等待一段時間,才能獲得客戶端的確認.從伺服器接收到客戶端的確認之前,伺服器的資源一直佔用。如果這時客戶端不確認,那麼這些連線就是半連線。通過

常見Dos攻擊原理及防護(死亡Ping、Smurf、Teardown、LandAttack、SYN Flood)

    DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路頻寬攻擊和連通性攻擊。     DoS攻擊是指故意的攻擊網路協議實現的缺陷或直接通過野蠻手段殘

PGP工作原理及其安全體制

打印 公鑰 密鑰環 see 特性 壓縮加密 解密 復制 bin 現代信息社會裏,當電子郵件廣受歡迎的同時,其安全性問題也很突出。實際上,電子郵件的傳遞過程是郵件在網絡上反復復制的過程,其網絡傳輸路徑不確定,很容易遭到不明身份者的竊取、篡改、冒用甚至惡意破壞,給收發雙方帶來麻

Linux學習十三-vi和vim編輯器及其快捷鍵

man 參考 AS 選擇 都是 常用 linu ins align vi和vim編輯器及其快捷鍵 1、vi與vim區別 它們都是多模式編輯器,不同的是vim 是vi的升級版本,它不僅兼容vi的所有指令,而且還有一些新的特性在裏面。 vim的這些優勢主要體現在以下幾個方面: