在Linux中防御SYN型DOS攻击的方法比较常见的有:
1、增大队列SYN最大半链接数
2、利用SYN cookie技术
下面分别进行分析。
1、增大队列SYN最大半连接数
在LINUX中执行命令“sysctl -a|grep net.ip4.tcp_max_syn_backlog”,在返回的“net.ipv4.tcp_max_syn_backlog=256”中显示Linux队列的最大半连接容量是256.
这个默认值对于web服务器来说远远不够的,一次简单的SYN攻击就足以将其完全占用。因此,防御DOS攻击 最简单的办法就是增大这个默认值,在Linux
中执行命令“sysctl -w net.ipv4.tcp_mac_syn_backlog=3000”,这样就可以将队列SYN最大半连接容量值改为3000了。
2、利用SYN cookie技术
SYN Cookie 是用一个Cookie来响应TCP SYN请求的,在正常的TCP连接过程中,当服务器接收一个SYN数据包,就会返回一个SYB-ACK包来应答,然后进入
TCP-SYN-RECV(半开放连接)状态来等待最后返回的ACK包。服务器用一个数据空间来描述所有未决的连接,然而这个数据空间的大小是有限的,所以攻击者将塞满 这个空间,在TCP SYN COOKIE 的执行过程中,当服务器收到一个SYN包的时候,他返回一个SYN-ACK包,这个数据包的ACK序列号是经过加密的,它由TCP连接的源地址和端口号,目标地客户端返回后,服务器重新计算COOKIE来判断它是不是上个SYN-ACK的返回包。如果是的话,服务器就可以直接进入TCP连接状态并打开连接。这样服务器就可以避免守候半开放连接了,在Linux中执行没命了“echo ”echo “1” > /proc/sys/net/ipv4/tcp_syncookies" > > /etc/rc_local",这样既可启动SYN Cookie,并将其添加到了Linux的启动文件,这样即使系统重启也影响SYN Cookie 的激活状态。
第二步:在渗透测试机打开Wireshark程序,并配置过滤条件:
第三步:在渗透机执行hping3程序发起SYN Flood (面向靶机TCP23端口)
第四步:打开Wireshark程序,对SYN Flood过程进行分析:
