Pages

Wednesday, 31 October 2012

SYN Flood攻击的假象

当发现系统被SYN Flood攻击的时候,现象是系统上有大量的SYN_RECV状态的网络连接。
可是当系统成为一个“黑洞”的时候——就是数据包只能进不能出——当系统带宽被用完的时候,系统上也会出现大量的SYN_RECV状态的连接,而且此时,系统会积累很多SYN_RECV状的连接,现在跟受攻击一模一样……
1. 增大SYN最大半连接
net.ipv4.tcp_max_syn_backlog
2. 减小超时值
net.ipv4.tcp_synack_retries
3. 启用cookie
/proc/sys/net/ipv4/tcp_syncookes