我最近有一个服务器停机时间。 我无处不在,唯一在日志文件中find的是:
Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies. Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies. 有人可以给我更多的信息。 这是什么,我怎样才能debugging的原因,我怎样才能解决这个问题。 我也发布ipconntrack突然变得太大 ,有另一个数据点,我发现不寻常的,想知道这两件事是否连接,因为他们正好在同一时间,但在不同的服务器发生。 一个在反向代理和其他实际的后端清漆服务器)
谢谢
同步洪水攻击是在大多数情况下,攻击者伪造制造数据包的源地址,尝试build立到服务器的连接(在这种情况下是端口80)
如果攻击者快速生成大量这样的包,则可能会耗尽连接池,从而阻止合法用户连接到主机。
TCP SYN cookies是一种用来更好地处理被攻击的情况的方法,如果有一些错误的消息,许多用户可以在SYN flood攻击的情况下访问您的服务(web)。
这是一种基本的DDOS攻击,称为syn flood攻击 。 基本上攻击者使用一个僵尸networking在你的计算机上半打开TCP连接,并打开你的conntrack表。 你可以使用iptables来防止这种情况发生,或者使用包含这些内置规则的CSF等防火墙更容易。 我在这里写了这个,现在推荐内置这些保护的ConfigServer防火墙 (CSF)。
如果您对这类攻击有任何具体的问题,请告诉我。
这是一个可以快速使用的iptables规则
iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN iptables -A syn_flood -j DROP
http://blog.dubbelboer.com/2012/04/09/syn-cookies.html有一个很好的写作。 如果连接是真实的和期望的,请尝试调整net.ipv4.tcp_max_syn_backlog和net.core.somaxconn内核参数,并在应用程序中调用传递给listen()的积压大小。
如果SYN攻击来自单个IP地址,则上述规则集是无用的,因为其他合法stream量也会阻塞,因为限制选项不考虑单个IP地址,所以我build议使用connlimit或hashlimit。