通过查看dmesg日志信息,当存在大量如下 的信息,服务器开始响应缓慢并丢失正常的计数数据。这是典型的SYN Flood攻击(或开放半连接攻击)。

[91767.569140] TCP: drop open request from 192.168.50.35/

[91767.569145] TCP: drop open request from 192.168.50.35/

[91767.569461] TCP: drop open request from 192.168.50.35/

[91767.569465] TCP: drop open request from 192.168.50.35/

[91767.570107] TCP: drop open request from 192.168.50.35/

[91767.589008] TCP: drop open request from 192.168.50.35/

[91768.045813] TCP: drop open request from 192.168.50.35/
TCP洪水攻击(SYN Flood)dmesg log

[260916.826952] TCP: request_sock_TCP: Possible SYN flooding on port . Sending cookies.  Check SNMP counters.

简单解决办法如下:

1、缩短SYN Timeout时间,由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值等于SYN攻击的频度 x SYN
Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN
Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。

2、设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是

受到了攻击,以后从这个IP地址来的包会被丢弃。但有一些参数需要协调配置,才会取到作用,否则会导致另外的问题。

建议统一使用下面这些参数:(部分参数根据实际网口修改,本例使用eth0)

sysctl -w net.ipv4.conf.eth0.accept_source_route=

sysctl -w net.ipv4.conf.lo.accept_source_route=

sysctl -w net.ipv4.conf.default.accept_source_route=

sysctl -w net.ipv4.conf.all.accept_source_route=

sysctl -w net.ipv4.tcp_syncookies=

sysctl -w net.ipv4.conf.eth0.secure_redirects=

sysctl -w net.ipv4.conf.lo.secure_redirects=

sysctl -w net.ipv4.conf.default.secure_redirects=

sysctl -w net.ipv4.conf.all.secure_redirects=

sysctl -w net.ipv4.conf.eth0.accept_redirects=

sysctl -w net.ipv4.conf.lo.accept_redirects=

sysctl -w net.ipv4.conf.default.accept_redirects=

sysctl -w net.ipv4.conf.all.accept_redirects=

sysctl -w net.ipv4.conf.eth0.send_redirects=

sysctl -w net.ipv4.conf.lo.send_redirects=

sysctl -w net.ipv4.conf.default.send_redirects=

sysctl -w net.ipv4.conf.all.send_redirects=

sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=

sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=

sysctl -w net.ipv4.tcp_tw_reuse=

sysctl -w net.ipv4.tcp_tw_recycle=

sysctl -w net.ipv4.tcp_fin_timeout=

#sysctl -w net.ipv4.tcp_fin_timeout=

sysctl -w net.ipv4.tcp_keepalive_time=

sysctl -w net.ipv4.tcp_syn_retries1=

sysctl -w net.ipv4.tcp_synack_retries=

sysctl -w net.core.wmem_max=

sysctl -w net.core.rmem_max=

sysctl -w net.ipv4.tcp_rmem="4096 873814 8738140"

sysctl -w net.ipv4.tcp_wmem="4096 873814 8738140"

sysctl -w net.ipv4.tcp_max_syn_backlog=

ifconfig eth0 txqueuelen

但上述的方法只能对付比较原始的SYN Flood攻击,缩短SYN
Timeout时间仅在对方攻击频度不高的情况下生效,SYN
Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法可能用处不大。要防御大规模,高密度的SYN攻击,一个有效的办法使用F5/Alteon等负载均衡设备,采用超过3台服务器的集群来对抗,即:
VIP(F5/Alteon等)--REAL
IP1,REAL IP2,REAL IP3....
一方面,负载均衡设备的高效连接管理可以应对一些SYN
Flood攻击,同时多台服务器的包处理能力大大增强,结合每台服务器改善的SYN Flood处理能力,完全可以应对这种大规模、高密度的SYN Flood攻击。

linux系统被ddos攻击识别的更多相关文章

  1. Linux下防御DDOS攻击的操作梳理

    DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求.耗尽目标主机资源 ...

  2. Linux下防御ddos攻击

    导读 Linux服务器在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等.通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长.比较彻底的解决方法是添置硬件防火墙.不过 ...

  3. Azure上Linux VM防DDOS攻击:使用Apache mod_evasive

    部署在云端的虚拟机和web服务,很容易受到DoS护着DDoS的服务攻击,让一些新上线的业务苦不堪言,当然各个云服务提供商也有不同层面DDOS的防护,然而由于防护粒度,攻击复杂度的关系,未必可以满足你的 ...

  4. Linux系统防CC攻击自动拉黑IP增强版Shell脚本 《Linux系统防CC攻击自动拉黑IP增强版Shell脚本》来自张戈博客

    前天没事写了一个防CC攻击的Shell脚本,没想到这么快就要用上了,原因是因为360网站卫士的缓存黑名单突然无法过滤后台,导致WordPress无法登录!虽然,可以通过修改本地hosts文件来解决这个 ...

  5. Linux系统调优——内核相关参数(五)

    修改内核参数有3种办法:一种临时修改,两种永久修改. 临时修改是使用sysctl [选项] [参数名=值]命令:永久修改是修改/etc/sysctl.conf文件或修改/proc/sys/目录下的对应 ...

  6. Linux系统采用netstat命令查看DDOS攻击的方法

    Linux系统采用netstat命令查看DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 [大 中 小] 这篇文章主要为大家介绍了Linux系统采用netstat命令查 ...

  7. 如何配置Linux系统防火墙,以防止DDOS攻击?

    虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等.通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长.比较彻底的解决方法是添置硬件防火墙.不过,硬件防 ...

  8. 简单几步即可判断Linux系统有无被DDOS攻击的方法

    一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件.当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式拒绝服务攻击). Dos攻 ...

  9. linux笔记_防止ddos攻击

    一.什么是DoS攻击 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻 ...

随机推荐

  1. Codeforces Round #265 (Div. 2) E. Substitutes in Number

    http://codeforces.com/contest/465/problem/E 给定一个字符串,以及n个变换操作,将一个数字变成一个字符串,可能为空串,然后最后将字符串当成一个数,取模1e9+ ...

  2. 使用PerfView监测.NET程序性能(四):折叠,过滤和时间范围选择

    在上一篇文章中,我们使用了Perfview的分组功能.分组功能旨在对某些函数按照某个格式进行分组,以减少视图中的各种无关函数的数量.但仅有分组还不够,有时我们想将一些函数调用信息按某些条件过滤掉,例如 ...

  3. 浅析C#中的Thread ThreadPool Task和async/await

    .net 项目中不可避免地要与线程打交道,目的都是实现异步.并发.从最开始的new Thread()入门,到后来的Task.Run(),如今在使用async/await的时候却有很多疑问. 先来看一段 ...

  4. jQuery基础(2)

    一.jQuery的属性操作 jQuery的属性操作分为四部分: html标签属性操作:是对html文档中的标签属性进行读取,设置和移除操作.比如attr().removeAttr(): DOM属性操作 ...

  5. 容器监控:cadvisor+influxdb+grafana

    cAdvisor:Google开源的工具,用于监控Docker主机和容器系统资源,通过图形页面实时显示数据,但不存储:它通过宿主机/proc./sys./var/lib/docker等目录下文件获取宿 ...

  6. spring-boot集成thymeleaf。

    thymeleaf是前台页面展示,原来一直是jsp,jsp中包含很多服务器端的逻辑,逐渐淘汰.同样功能的还有freemarker.孰好孰坏不予评价,只做简单实现. 1.基本思路 (1)pom.xml中 ...

  7. job任务执行流程与分区机制

    job任务执行流程    1.run job阶段        ①收集整个job的环境信息(比如通过conf设定的参数,还有mapperClass,reducerClass,以及输出kv类型)     ...

  8. switch...case... 语句中的类型转换

    switch语句对case表达式的结果类型有如下要求: 要求case表达式的结果能转换为switch表示式结果的类型 并且如果switch或case表达式的是无类型的常量时,会被自动转换为此种常量的默 ...

  9. 【xsy2194】Philosopher set+线段树合并

    题目大意:给你一个长度为$n$的序列,有$m$次操作,每次操作是以下两种之一: 对某个区间内的数按照升序/降序排序,询问某个区间内数的积在十进制下首位数字是多少. 数据范围:$n,m≤2\times ...

  10. javascript数据结构与算法--高级排序算法(快速排序法,希尔排序法)

    javascript数据结构与算法--高级排序算法(快速排序法,希尔排序法) 一.快速排序算法 /* * 这个函数首先检查数组的长度是否为0.如果是,那么这个数组就不需要任何排序,函数直接返回. * ...