DDOS反攻击措施
来源:互联网 发布:索隆 知乎 编辑:程序博客网 时间:2024/05/16 07:54
4.减小超时值和重传时间。
在Linux中建立TCP连接时,在客户端和服务器之间创建握手过程中,当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队列是删除,也就是说半连接存在一定的存活时间,超过这个时间,半连接就会自动断开,在上述SYN攻击测试中,当经过较长的的时间后,就会发现一些半连接已经自动断开了.
半连接存活时间实际上是系统所有重传次数等待的超时时间之和,这个值越大,半连接数占用的Backlog队列的时间就越长,系统能处理的 SYN请求就越少,
因此,缩短超时时间就可以有效防御SYN攻击,这可以通过缩小重传超时时间和减少重传次数来实现.在Linux中默认的重传次数为5 次,
总超时时间为3分钟,在Linux中执行命令"sysctl -w net.ipv4.tcp_synack_retries=1",将超时重传次数设置为1.
5.利用SYN cookie来防御DOS攻击
除了在TCP协议栈中开辟一个内存空间来存储半连接数之外,为避免因为SYN请求数量太多,导致该队列被填满的情况下,Linux服务器仍然可以处理新的 SYN连接,可以利用SYN Cookie技术来处理SYN连接.什么是SYN Cookie呢?SYN Cookie是用一个Cookie来响应TCP SYN请求的,在正常的TCP连接过程中,当服务器接收一个SYN数据包,就会返回一个SYN -ACK包来应答,然后进入TCP -SYN -RECV(半开放连接)状态来等待最后返回的ACK包.服务器用一个数据空间来描述所有未决的连接,然而这个数据空间的大小是有限的,所以攻击者将塞满这个空间,在TCP SYN COOKIE的执行过程中,当服务器收到一个SYN包的时候,他返回一个SYN -ACK包,这个数据包的ACK序列号是经过加密的,它由TCP连接的源地址和端口号,目标地址和端口号,以及一个加密种子经过HASH计算得出的,然后服务器释放所有的状态.如果一个ACK包从客户端返回后,服务器重新计算COOKIE来判断它是不是上个SYN -ACK的返回包.如果是的话,服务器就可以直接进入TCP连接状态并打开连接.这样服务器就可以避免守候半开放连接了,在Linux中执行命令"echo "echo "1" > / proc/sys/net/ipv4/tcp_syncookies"> > /etc/rc_local",这样即可启动SYN Cookie,并将其添加到了Linux的启动文件,这样即使系统重启也不影响SYN Cookie的激活状态.
- DDOS反攻击措施
- 网络安全新举措 对DDOS攻击的防御措施
- DDOS攻击之高防服务器的防御措施
- DDOS攻击
- ddos 攻击
- ddos攻击
- DDoS攻击
- DDoS攻击
- DDos攻击
- DDoS 攻击
- DDoS 攻击
- DDOS攻击
- DDOS攻击
- DDos攻击
- DDos攻击
- DDoS攻击
- DDOS攻击
- DDoS攻击
- 对照Java学习Swift--属性 (Properties)
- JNI 实战全面解析
- JAVA中运算符
- C++实现字符串反转
- hdu 2112 HDU Today
- DDOS反攻击措施
- Java自定义协议报文封装 添加Crc32校验
- 内联函数和宏定义的区别
- 4.30
- xUtils开源库导入AS失败,换成导入xUtils3开源库
- HTML5移动端meta标签中viewpoint简介
- Android 网络请求方法
- [LeetCode]Next Permutation下一个排列问题
- 基于Bootstrap使用jQuery实现输入框组input-group的添加与删除