如何避免 SYN 攻击?

文章目录

  • [一、增大 TCP 半连接队列](#一、增大 TCP 半连接队列)
  • [二、减少 SYN+ACK 重传次数](#二、减少 SYN+ACK 重传次数)
  • [三、开启 tcp_syncookies](#三、开启 tcp_syncookies)

什么是 SYN 攻击?

一、增大 TCP 半连接队列

增大 TCP 半连接队列,需要同时增大三个参数:

  • /proc/sys/net/ipv4/tcp_max_syn_backlog
  • /proc/sys/net/core/somazconn
  • listen() 函数的 backlog 参数

引申问题

为什么要同时增大这三个参数?详见TCP 半连接队列和全连接队列详解(结合 Linux 2.6.32 内核源码分析)

二、减少 SYN+ACK 重传次数

服务端受到 SYN 攻击时,会有大量处于 SYN_RCVD 状态的 TCP 连接,处于该状态的 TCP 会重传 SYN+ACK 报文,重传 tcp_synack_retries 次后,就会断开连接,我们可以通过减少 SYN+ACK 报文的重传次数,加快断开处于 SYN_RCVD 状态的 TCP 连接

三、开启 tcp_syncookies

我们先来看下 Linux 内核的「SYN 队列」和 「Accept 队列」是如何工作的?

开启 tcp_syncookies,可以在不使用「SYN 队列」的情况下建立 TCP 连接

  1. 「SYN 队列」满了的情况下,服务端不会丢弃后续收到的 SYN 报文,而是根据算法计算出 cookie 值,将其填入 TCP 首部的「序列号」字段后发送 SYN+ACK 报文给客户端
  2. 服务端收到客户端的 ACK 报文后,会检查其合法性,如果合法,将该连接放入「Accept 队列」中,最后应用程序通过调用 accpet() 接口从「Accept 队列」取出连接

/proc/sys/net/ipv4/tcp_syncookies 主要有三个值:

  • 0:关闭该功能
  • 1:「SYN 队列」放不下时,启用该功能
  • 2:无条件启用该功能
相关推荐
都给我7 分钟前
服务器中涉及节流(Throttle)的硬件组件及其应用注意事项
服务器·网络·express
ALe要立志成为web糕手10 分钟前
计算机网络基础
网络·安全·web安全·网络安全
liulun33 分钟前
SkSurface---像素的容器:表面
网络·网络协议·rpc
火车叨位去194935 分钟前
鱼皮项目简易版 RPC 框架开发(六)----最后的绝唱
网络·网络协议·rpc
DBWYX1 小时前
计算机网络五层模型
网络·计算机网络
学编程的董1 小时前
网络原理 - TCP/IP(一)
网络·网络协议·udp·ip·tcp
极客范儿1 小时前
新华三H3CNE网络工程师认证—Telnet
网络·ssh·telnet
Σdoughty1 小时前
HCIP---MGRE实验
网络
ZY小袁1 小时前
MGRE综合实验
服务器·网络·笔记·网络安全·学习方法·信息与通信·p2p
conkl4 小时前
构建 P2P 网络与分布式下载系统:从底层原理到安装和功能实现
linux·运维·网络·分布式·网络协议·算法·p2p