1.簡介
SYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，常用假冒的IP或IP號段發(fā)來海量的請求連接的第一個(gè)握手包（SYN包），被攻擊服務(wù)器回應(yīng)第二個(gè)握手包（SYN+ACK包），因?yàn)閷Ψ绞羌倜癐P，對方永遠(yuǎn)收不到包且不會回應(yīng)第三個(gè)握手包。導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的“半連接”，并且會重試默認(rèn)5次回應(yīng)第二個(gè)握手包，塞滿TCP等待連接隊(duì)列，資源耗盡（CPU滿負(fù)荷或內(nèi)存不足），讓正常的業(yè)務(wù)請求連接不進(jìn)來。

詳細(xì)的原理，網(wǎng)上有很多介紹，應(yīng)對辦法也很多，但大部分沒什么效果，這里介紹我們是如何診斷和應(yīng)對的。

2. 診斷
我們看到業(yè)務(wù)曲線大跌時(shí)，檢查機(jī)器和DNS，發(fā)現(xiàn)只是對外的web機(jī)響應(yīng)慢、CPU負(fù)載高、ssh登陸慢甚至有些機(jī)器登陸不上，檢查系統(tǒng)syslog：

代碼如下:
# tail -f /var/log/messages
Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.

檢查連接數(shù)增多，并且SYN_RECV 連接特別多：
代碼如下:
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 16855
CLOSE_WAIT 21
SYN_SENT 99
FIN_WAIT1 229
FIN_WAIT2 113
ESTABLISHED 8358
SYN_RECV 48965
CLOSING 3
LAST_ACK 313

根據(jù)經(jīng)驗(yàn)，正常時(shí)檢查連接數(shù)如下：
代碼如下:
# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 42349
CLOSE_WAIT 1
SYN_SENT 4
FIN_WAIT1 298
FIN_WAIT2 33
ESTABLISHED 12775
SYN_RECV 259
CLOSING 6
LAST_ACK 432

以上就是TCP洪水攻擊的兩大特征。執(zhí)行netstat -na>指定文件，保留罪證。

3.優(yōu)化Linux阻擋SYN洪水攻擊
如果在Linux服務(wù)器下遭受SYN洪水攻擊,可以進(jìn)行如下一些設(shè)置:
代碼如下:
#縮短SYN- Timeout時(shí)間：
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT
#每秒 最多3個(gè) syn 封包 進(jìn)入 表達(dá)為 ：
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT
#設(shè)置syncookies：
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=3072
sysctl -w net.ipv4.tcp_synack_retries=0
sysctl -w net.ipv4.tcp_syn_retries=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
#防止PING：
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#攔截具體IP范圍：
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j Drop