如何避免 SYN 攻击?

文章目录

  • [一、增大 TCP 半连接队列](#一、增大 TCP 半连接队列)
  • [二、减少 SYN+ACK 重传次数](#二、减少 SYN+ACK 重传次数)
  • [三、开启 tcp_syncookies](#三、开启 tcp_syncookies)

什么是 SYN 攻击?

一、增大 TCP 半连接队列

增大 TCP 半连接队列,需要同时增大三个参数:

  • /proc/sys/net/ipv4/tcp_max_syn_backlog
  • /proc/sys/net/core/somazconn
  • listen() 函数的 backlog 参数

引申问题

为什么要同时增大这三个参数?详见TCP 半连接队列和全连接队列详解(结合 Linux 2.6.32 内核源码分析)

二、减少 SYN+ACK 重传次数

服务端受到 SYN 攻击时,会有大量处于 SYN_RCVD 状态的 TCP 连接,处于该状态的 TCP 会重传 SYN+ACK 报文,重传 tcp_synack_retries 次后,就会断开连接,我们可以通过减少 SYN+ACK 报文的重传次数,加快断开处于 SYN_RCVD 状态的 TCP 连接

三、开启 tcp_syncookies

我们先来看下 Linux 内核的「SYN 队列」和 「Accept 队列」是如何工作的?

开启 tcp_syncookies,可以在不使用「SYN 队列」的情况下建立 TCP 连接

  1. 「SYN 队列」满了的情况下,服务端不会丢弃后续收到的 SYN 报文,而是根据算法计算出 cookie 值,将其填入 TCP 首部的「序列号」字段后发送 SYN+ACK 报文给客户端
  2. 服务端收到客户端的 ACK 报文后,会检查其合法性,如果合法,将该连接放入「Accept 队列」中,最后应用程序通过调用 accpet() 接口从「Accept 队列」取出连接

/proc/sys/net/ipv4/tcp_syncookies 主要有三个值:

  • 0:关闭该功能
  • 1:「SYN 队列」放不下时,启用该功能
  • 2:无条件启用该功能
相关推荐
一只栖枝4 小时前
网络安全 vs 信息安全的本质解析:数据盾牌与网络防线的辩证关系关系
网络·网络安全·信息安全·it·信息安全认证
CertiK4 小时前
CertiK《Hack3d:2025年第二季度及上半年Web3.0安全报告》(附报告全文链接)
网络
一只小鱼儿吖6 小时前
进程代理单窗口单IP技术:原理、应用与实现
网络·网络协议·tcp/ip
稳联技术6 小时前
Ethernet IP与Profinet共舞:网关驱动绿色工业的智慧脉动
网络·网络协议·tcp/ip
学习3人组6 小时前
CentOS配置网络
linux·网络·centos
~山有木兮7 小时前
LiteHub中间件之限流实现
网络·http·中间件
cui_win7 小时前
【网络】Linux 内核优化实战 - net.core.flow_limit_table_len
linux·运维·网络
BD_Marathon8 小时前
虚拟机网络检查
网络
cocologin10 小时前
RIP 技术深度解析
运维·网络·网络协议
GalaxyPokemon11 小时前
RPC-Client模块
网络·网络协议·rpc