SYNPROXY:廉价的抗 DoS 攻击方案

oschina
 oschina
发布于 2014年03月20日
收藏 87

DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。在linux内核3.13里终于加入了SYNPROXY的新功能, 这个模块是一个基于链接跟踪的netfilter扩展,主要干的工作就是把来自客户端的初始SYN包标记成UNTRACKED然后直接导入 iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的 常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端,开发者Jesper Dangaard Brouer的数据表明SYNPROXY对 于对抗SYN FLOOD DOS攻击是非常有效的,笔者今天也在Debian和SLES-12-beta2对SYNPROXY进行了DoS测试,大致结果是在使用hping3和 metasploit进行测试,开启SYNPROXY后ksoftirq占用会从8%降低到3%以内,有兴趣的可以亲自去玩玩。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:SYNPROXY:廉价的抗 DoS 攻击方案
资讯来源:Solidot
加载中

最新评论(9

wwek
wwek
抗Dos有毛用啊。
到了今天打出几十G的 UDP流量不难。

以后会打出更多的流量。 我灌你 200G 流量。

你 199G 带宽 + 能处理 500G流量清洗的设备. 何用``.


拼带宽.

哎`
刘柳
刘柳
用shell +iptables也可以啊
进击的代码
进击的代码

引用来自“bhzhu203”的评论

链接中的iptables命令写错了,应该是

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state UNTRACKED,INVALID \
  -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn


要配合iptables 1.4.21使用, 不然会报错

+1 大神~~
Kewin_Wang
Kewin_Wang
想学习如何Dos
JonL
JonL
这也只是针对SYN半开连接的攻击,现在针对应用层DDoS攻击的案例越来越多。还是需要专业的设备搞这一块。
sunney888
sunney888
好东西。
hostnar
hostnar
真是个好消息
bhzhu203
bhzhu203
链接中的iptables命令写错了,应该是

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state UNTRACKED,INVALID \
  -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn


要配合iptables 1.4.21使用, 不然会报错
返回顶部
顶部