linux中预防SYN_RECV攻击

攻击的形式多种多样，我们这里只介绍最为常见的SYN_RECV，遇到攻击的不要着急，小量的SYN_RECV很容易防止的

 

1.对于大量的 SYN_RECV

 若怀疑是SYN Flood攻击，有以下建议:

 

这个攻击的解决方法如下：

 (1)增加未完成连接队列（q0)的最大长度。

 echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog

(2), 启动SYN_cookie。

echo 1>/proc/sys/net/ipv4/tcp_syncookies

这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓）

治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入”/etc/rc.d/rc.local”文件中

 

如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

关于 syn cookies， 请参阅 < http://cr.yp.to/syncookies.html >

 

也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。

 

2. iptables的设置，引用自CU

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也有人写作

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

 

防止各种端口扫描

# iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

 

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT