厦门-志君同学21期群里疑问?
syn flood是否无法防御
刚看到群里同学问问题,我还在讲课,利用间隙简单给大家点思路吧。
老男孩简单答疑如下:
1、先了解什么是SYN Flood?
SYN Flood是一种DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。
2、再了解tcp/ip的三次握手和四次断开过程原理
04-老男孩linux技术分享-OSI七层模型及协议-包封装解封装详解
http://www.tudou.com/programs/view/sP9JY_KranA/
05-老男孩linux技术分享-TCP三次握手四次断开原理过程详解
http://www.tudou.com/programs/view/XjHCDedZQa8/
3、解决Syn flood基本思路
1)内核优化下可以缓解
例如:
a、syn连接池大小设置。
b、接超时时间设置
c、启用SYN Cookie处理
具体参考:http://edu.51cto.com/pack/view/id-285.html视频中第一部分内核优化部分!
4、iptables控制思路
老男孩教育企业iptables面试题:自定义链处理syn攻击
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j DROP
上述内容老男孩教育的VIP视频里有讲到,面试月薪一万的工作了解这些,够用了!
本文出自 “老男孩linux运维” 博客,请务必保留此出处http://oldboy.blog.51cto.com/2561410/1689897
原文地址:http://oldboy.blog.51cto.com/2561410/1689897
