Linux安全之SYN攻擊原理及處理，linuxsyn攻擊

Linux安全之SYN攻擊原理及處理，linuxsyn攻擊

TCP自從1974年被發明出來之後，曆經30多年發展，目前成為最重要的互連網基礎協議，但TCP協議中也存在一些缺陷。

SYN攻擊就是利用TCP協議的缺陷，來導致系統服務停止正常的響應。

SYN攻擊原理

 

TCP在傳遞資料前需要經過三向交握，SYN攻擊的原理就是向伺服器發送SYN資料包，並偽造源IP地址。

伺服器在收到SYN資料包時，會將串連加入backlog隊列，並向源IP發送SYN-ACK資料包，並等待ACK資料包，以完成三向交握建立串連。

由於源IP地址是偽造的不存在主機IP，所以伺服器無法收到ACK資料包，並會不斷重發，同時backlog隊列被不斷被攻擊的SYN串連佔滿，導致無法處理正常的串連。

SYN攻擊處理

針對SYN攻擊的幾個環節，提出相應的處理方法：

方式1：減少SYN-ACK資料包的重發次數（預設是5次）：

sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 

方式2：使用SYN Cookie技術：

sysctl -w net.ipv4.tcp_syncookies=1 

方式3：增加backlog隊列（預設是1024）：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048 

方式4：限制SYN並發數：

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s

SYN攻擊類比

可以用之前介紹的hping工具來類比SYN攻擊，參見《Linux常用網路工具：hping進階主機掃描》；

還有一款synkill也可以用來類比SYN攻擊。

記錄，為更好的自己！