Linux下其他预防策略

SYN类型DDOS攻击预防

伪造一个不存在的原IP地址（hping命令可以做到）

TCP三次握手

什么是SYN攻击？什么事DDOS攻击？

常见的攻击方法

syn类型DDOS攻击防御

SYN类型DDOS攻击预防

Linux其他防攻击策略 

策略1、如何关闭ICMP协议请求 

synctl -w net.ipv4.icmp_echo_ignore_all=1 

 策略2、通过iptables防止扫描 

iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT

iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT

iptables -A FORWORD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT

SYN攻击和DDOS攻击

SYN类型DDOS攻击：服务器接收到连接请求（syn=j），将此信息加入backlog未连接队列，导致队列满了丢弃掉正常的SYN请求，同时发送请求包给客户（syn=k,ack=j+1），进入SYN_RECV状态。当未收到客户端的确认包时，一直重发请求包，占用网络带宽，引起网络堵塞甚至系统瘫痪。

减少syn和ack包的重试次数

    sysctl -w net.ipv4.tcp_synack_retries=3

    sysctl -w net.ipv4.tcp_syn_retries=3

SYN cookies技术

    sysctl -w net.ipv4.tcp_syncookies=1

增加backlog队列

     sysctl -w net.ipv4.tcp_max_syn_backlog=2048

关闭ICMP协议请求

     sysctl -w net.ipv4.icmp_echo_ignore_all=1

SYN攻击

..

三次握手

减少syn和ack包的重试次数

sysctl -w net.ipv4.tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

Linux其他防御策略

SYN类型DDOS攻击防御