词语解释
Syn_recv是一种网络通信协议,它是TCP/IP协议中的一种。它是用来实现客户端与服务器之间的双向通信的一种协议。 Syn_recv协议是基于TCP/IP协议的,它使用三次握手来实现双向通信。三次握手包括客户端发出连接请求,服务器回复连接请求,客户端确认服务器的连接请求。 Syn_recv协议的应用主要是用于客户端和服务器之间的双向通信,例如在Web服务器和客户端之间的通信,客户端发出一个HTTP请求,服务器回复一个HTTP响应,客户端确认收到服务器的响应。 此外,Syn_recv协议也可以用于实现网络中的文件传输,客户端发出一个文件请求,服务器回复一个文件响应,客户端确认收到服务器的响应,然后服务器将文件发送到客户端。 Syn_recv协议还可以用于实现网络中的数据库通信,客户端发出一个数据库查询请求,服务器回复一个数据库查询响应,客户端确认收到服务器的响应,然后服务器将数据库查询结果发送到客户端。 总之,Syn_recv协议是一种实现客户端和服务器之间双向通信的协议,它可以用于实现Web服务器和客户端之间的通信,文件传输和数据库通信等。 TCP SYN Flood是一种常见,而且有效的远端(远程)拒绝服务(Denial of Service)攻击方式,它透过一定的操作破坏TCP三次握手建立正常连接,占用并耗费系统资源,使得提供TCP服务的主机系统无法正常工作。由于TCP SYN Flood是透过网路底层对服务器Server进行攻击的,它可以在任意改变自己的网路IP地址的同时,不被网路上的其他设备所识别,这样就给防范网路犯罪部门追查犯罪来源造成很大的困难。在国内内外的网站中,这种攻击屡见不鲜。在一个拍卖网站上,曾经有犯罪分子利用这种手段,在低价位时阻止其他用户继续对商品拍卖,干扰拍卖过程的正常运作。 如何判断? 一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。 1、 服务端无法提供正常的TCP服务。连接请求被拒绝或超时。 2、透过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。 检查服务器链接,SYN_RECV状态最高时有200多个,访问服务器网页特别慢,甚至超时,所以基本判定是SYN_RECV攻击。 解决方法: 这个攻击的解决方法如下: 1,增加未完成连接队列(q0)的最大长度。 echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog 2, 启动SYN_cookie。 echo 1>/proc/sys/net/ipv4/tcp_syncookies 这些是被动的方法,治标不治本。而且加大了服务器的负担,但是可以避免被拒绝攻击(只是减缓) 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中 如果对 /proc/sys/net/ipv4 下的配置文件进行解释,可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。 关于 syn cookies, 请参阅 <> http://cr.yp.to/syncookies.html 也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。 2. iptables的设置,引用自CU 防止同步包洪水(Sync Flood) # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 也有人写作 #iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改 防止各种端口扫描 # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping洪水攻击(Ping of Death) # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
TCP SYN Flood是一种常见,而且有效的远端(远程)拒绝服务(Denial of Service)攻击方式,它透过一定的操作破坏TCP三次握手建立正常连接,占用并耗费系统资源,使得提供TCP服务的主机系统无法正常工作。由于TCP SYN Flood是透过网路底层对服务器Server进行攻击的,它可以在任意改变自己的网路IP地址的同时,不被网路上的其他设备所识别,这样就给防范网路犯罪部门追查犯罪来源造成很大的困难。在国内内外的网站中,这种攻击屡见不鲜。在一个拍卖网站上,曾经有犯罪分子利用这种手段,在低价位时阻止其他用户继续对商品拍卖,干扰拍卖过程的正常运作。 如何判断? 一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。 1、 服务端无法提供正常的TCP服务。连接请求被拒绝或超时。 2、透过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。 检查服务器链接,SYN_RECV状态最高时有200多个,访问服务器网页特别慢,甚至超时,所以基本判定是SYN_RECV攻击。 解决方法: 这个攻击的解决方法如下: 1,增加未完成连接队列(q0)的最大长度。 echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog 2, 启动SYN_cookie。 echo 1>/proc/sys/net/ipv4/tcp_syncookies 这些是被动的方法,治标不治本。而且加大了服务器的负担,但是可以避免被拒绝攻击(只是减缓) 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中 如果对 /proc/sys/net/ipv4 下的配置文件进行解释,可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。 关于 syn cookies, 请参阅 <> http://cr.yp.to/syncookies.html 也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。 2. iptables的设置,引用自CU 防止同步包洪水(Sync Flood) # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 也有人写作 #iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改 防止各种端口扫描 # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping洪水攻击(Ping of Death) # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
抱歉,此页面的内容受版权保护,复制需扣除次数,次数不足时需付费购买。
如需下载请点击:点击此处下载
扫码付费即可复制
网上营业厅 | 苏宁电器 | 长虹 | 色散位移光纤 | 交换式以太网 | prcf | potp | 电子对抗 | 调谐器 | 客户关系管理 | 拍拍网 | 路由收敛 |