扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
前面已经提过TCP的三次握手,问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器一般会重试(再次发送SKY+ACK给客户端)并等待一段是句丢弃这个未完成的连接,这段时间的长度我们称为(SYN Timeout),一般来说这个时间是分钟为单位(半分钟-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗很多的CPU资源与时间,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬合法请求(客户端的正常请求相较于非法请求来说非常小),此时从正常连接的角度来说,服务器失去了响应,这种情况我们称为服务器收到了洪水攻击。
从防御角度来说,可以缩短SYN- Timeout时间,由于SYN FLOOD攻击效果取决于服务器上保持的SYN半连接数,这个值等于SYN攻击的频度* SYN Timeout,所以通过缩短从接受到SYN报文到区定这个报文物校并丢弃连接的时间,,可以降低服务器的负荷。
我们可以在用IPTABLES执行如下语句:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
在所有的IPTABLES规则制定完后,可以用$ iptables-save >iptables-script把写入的全部的规则写入到文件,然后 在 /etc/rc.d/rc.local
加入:iptables-restore iptables-script
这样每次重新启动系统将自动载入iptables设定好的规则。
【结论】
本设计实现了Linux服务器在局域网内的代理上网应用和网络防火墙应用,大量使用了Linux下的防火墙iptables。并且对tcp/ip协议作了透彻的讲解,对网络的典型攻击方式进行了明确的阐述。证明Linux在作为网络网关服务器有充分的方式,不仅系统强壮,并且配置性很强。希望给广大喜欢网络及网络管理的同学提供了新的思路。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。