如何檢查CENTOS伺服器受到DDOS攻擊
登入到你的伺服器以root使用者執行下面的命令,使用它你可以檢查你的伺服器是在DDOS攻擊與否:
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort –n
該命令將顯示已登入的是串連到伺服器的最大數量的IP的列表。
DDOS變得更為複雜,因為攻擊者在使用更少的串連,更多數量IP的攻擊伺服器的情況下,你得到的串連數量較少,即使你的伺服器被攻擊了。有一點很重要,你應該檢查當前你的伺服器活躍的串連資訊,執行以下命令:
netstat -n | grep :80 |wc –l
上面的命令將顯示所有開啟你的伺服器的活躍串連。
您也可以使用如下命令:
netstat -n | grep :80 | grep SYN |wc –l
從第一個命令有效串連的結果會有所不同,但如果它顯示串連超過500,那麼將肯定有問題。
如果第二個命令的結果是100或以上,那麼伺服器可能被同步攻擊。
一旦你獲得了攻擊你的伺服器的IP列表,你可以很容易地阻止它。
同構下面的命令來阻止IP或任何其他特定的IP:
route add ipaddress reject
一旦你在伺服器上組織了一個特定IP的訪問,你可以檢查對它的阻止豆腐有效
通過使用下面的命令:
route -n |grep IPaddress
您還可以通過使用下面的命令,用iptables封鎖指定的IP。
iptables -A INPUT 1 -s IPADRESS -j DROP/REJECT
service iptables restart
service iptables save
上面的命令執行後,停止httpd串連,重啟httpd服務
使用下面的命令:
killall -KILL httpd
service httpd startssl
DDOS攻擊防範
sysctl -w net.ipv4.icmp_echo_ignore_all=1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
sysctl -w net.ipv4.tcp_max_syn_backlog=”2048″
sysctl -w net.ipv4.tcp_synack_retries=”3″
iptables -A INPUT -i eth0 -p tcp –syn -j syn-flood
# Limit 12 connections per second (burst to 24)
iptables -A syn-flood -m limit –limit 12/s –limit-burst 24 -j RETURN
可以試著該該:
iptbales -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
虛擬機器主機服務商在運營過程中可能會受到駭客攻擊,常見的攻擊方式有SYN,DDOS等。
通過更換IP,尋找被攻擊的網站可能避開攻擊,但是中斷服務的時間比較長。比較徹底的解決方案是添置硬體防火牆。不過,硬體防火牆價格比較昂貴。可以考慮利用Linux系統本身提供的防火牆功能來防禦。
1. 抵禦SYN
SYN攻擊是利用TCP/IP協議3次握手的原理,發送大量的建立串連的網路包,但不實際建立串連,最終導致被攻擊伺服器的網路隊列被佔滿,無法被正常使用者訪問。
Linux核心提供了若干SYN相關的配置,用命令:
sysctl -a | grep syn
看到:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關,是否開啟SYN Cookie
功能,該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數。
加大SYN隊列長度可以容納更多等待串連的網路連接數,開啟SYN Cookie功能可以阻止部分SYN攻擊,降低重試次數也有一定效果。
調整上述設定的方法是:
增加SYN隊列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
開啟SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local檔案中
netstat 工具來檢測SYN攻擊
# netstat -n -p -t
tcp0 0 10.11.11.11:23124.173.152.8:25882 SYN_RECV-
tcp0 0 10.11.11.11:23236.15.133.204:2577 SYN_RECV-
tcp0 0 10.11.11.11:23127.160.6.129:51748 SYN_RECV-
…
LINUX系統中看到的,很多串連處於SYN_RECV狀態(在WINDOWS系統中是SYN_RECEIVED狀態),
源IP地址都是隨機的,表明這是一種帶有IP欺騙的SYN攻擊。
# netstat -n -p -t | grep SYN_RECV | grep :80 | wc -l
324
查看在LINUX環境下某個端囗的未串連隊列的條目數,顯示TCP端囗22的未串連數有324個,
雖然還遠達不到系統極限,但應該引起管理員的注意。
[root@pub wxjsr]# netstat -na | grep SYN_RECV
tcp 0 0 58.193.192.20:80 221.0.108.162:32383 SYN_RECV
tcp 0 0 58.193.192.20:80 125.85.118.231:2601 SYN_RECV
tcp 0 0 58.193.192.20:80 222.242.171.215:2696 SYN_RECV
tcp 0 0 58.193.192.20:80 116.52.10.51:2629 SYN_RECV
tcp 0 0 58.193.192.20:80 218.171.175.157:1117
[root@pub wxjsr]# netstat -na | grep SYN_RECV |wc
11 66 979
查看系統SYN相關的配置
Linux核心提供了若干SYN相關的配置,用命令: sysctl -a | grep syn
[root@metc apache2]# /sbin/sysctl -a | grep syn
net.ipv6.conf.default.max_desync_factor = 600
net.ipv6.conf.all.max_desync_factor = 600
net.ipv6.conf.eth0.max_desync_factor = 600
net.ipv6.conf.lo.max_desync_factor = 600
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
net.ipv4.tcp_max_syn_backlog = 1280
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
fs.quota.syncs = 18
防範SYN攻擊設定
#縮短SYN- Timeout時間:
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT
#每秒 最多3個 syn 封包 進入 表達為 :
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT
#設定syncookies:
sysctl -w net.ipv4.tcp_syncookies=1
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=3000
/sbin/sysctl -w net.ipv4.tcp_synack_retries=1
/sbin/sysctl -w net.ipv4.tcp_syn_retries=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
/sbin/sysctl -w net.ipv4.conf.default.accept_source_route=0 # 禁用icmp源路由選項
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 # 忽略icmp ping廣播包,應開啟
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=1 # 忽略所有icmp ping資料,覆蓋上一項
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
