Linux安全之三大攻击(SYN,DDOS,CC)原理及处理

女爷i 2022-05-15 03:48 728阅读 0赞

[**Linux安全之SYN攻击原理及处理**][Linux_SYN]

TCP自从1974年被发明出来之后，历经30多年发展，目前成为最重要的互联网基础协议，但TCP协议中也存在一些缺陷。

SYN攻击就是利用TCP协议的缺陷，来导致系统服务停止正常的响应。

**SYN攻击原理**

TCP在传递数据前需要经过三次握手，SYN攻击的原理就是向服务器发送SYN数据包，并伪造源IP地址。

服务器在收到SYN数据包时，会将连接加入backlog队列，并向源IP发送SYN-ACK数据包，并等待ACK数据包，以完成三次握手建立连接。

由于源IP地址是伪造的不存在主机IP，所以服务器无法收到ACK数据包，并会不断重发，同时backlog队列被不断被攻击的SYN连接占满，导致无法处理正常的连接。

**SYN攻击处理**

--------------------

针对SYN攻击的几个环节，提出相应的处理方法：

**方式1：减少SYN-ACK数据包的重发次数（默认是5次）：**

<table> 
 <tbody> 
  <tr> 
   <td> <p>sysctl -w net.ipv4.tcp_synack_retries=3</p> <p>sysctl -w net.ipv4.tcp_syn_retries=3</p> </td> 
  </tr> 
 </tbody> 
</table>

**方式2：使用SYN Cookie技术：**

<table> 
 <tbody> 
  <tr> 
   <td> <p>sysctl -w net.ipv4.tcp_syncookies=1</p> </td> 
  </tr> 
 </tbody> 
</table>

**方式3：增加backlog队列（默认是1024）：**

<table> 
 <tbody> 
  <tr> 
   <td> <p>sysctl -w net.ipv4.tcp_max_syn_backlog=2048</p> </td> 
  </tr> 
 </tbody> 
</table>

**方式4：限制SYN并发数：**

<table> 
 <tbody> 
  <tr> 
   <td> <p>iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s</p> </td> 
  </tr> 
 </tbody> 
</table>

**SYN攻击模拟**

--------------------

可以用之前介绍的hping工具来模拟SYN攻击，参见《[Linux常用网络工具：hping高级主机扫描][Linux_hping]》；

还有一款synkill也可以用来模拟SYN攻击。

使用DDoS deflate脚本自动屏蔽攻击ip

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限制时，该程序会通过APF或IPTABLES禁止或阻挡这些IP.  
DDoS deflate其实是一个Shell脚本，使用netstat和iptables工具，对那些链接数过多的IP进行封锁，能有效防止通用的恶意扫描器，但它并不是真正有效的DDoS防御工具。  
   
DDoS deflate工作过程描述：  
同一个IP链接到服务器的连接数到达设置的伐值后，所有超过伐值的IP将被屏蔽，同时把屏蔽的IP写入ignore.ip.list文件中，与此同时会在tmp中生成一个脚本文件，这个脚本文件马上被执行，但是一  
运行就遇到sleep预设的秒，当睡眠了这么多的时间后，解除被屏蔽的IP，同时把之前写入ignore.ip.list文件中的这个被封锁的IP删除，然后删除临时生成的文件。  
一个事实：如果被屏蔽的IP手工解屏蔽，那么如果这个IP继续产生攻击，那么脚本将不会再次屏蔽它（因为加入到了ignore.ip.list），直到在预设的时间之后才能起作用，加入到了ignore.ip.list中的  
IP是检测的时候忽略的IP。可以把IP写入到这个文件以避免这些IP被堵塞，已经堵塞了的IP也会加入到ignore.ip.list中，但堵塞了预定时间后会从它之中删除。  
   
如何确认是否受到DDOS攻击？  
\[root@test3-237 ~\]\# netstat -ntu | awk '\{print $5\}' | cut -d: -f1 | sort | uniq -c | sort -n  
      1 Address  
      1 servers)  
      2 103.10.86.5  
      4 117.36.231.253  
      4 19.62.46.24  
      6 29.140.22.18  
      8 220.181.161.131     
      2911 167.215.42.88  
   
每个IP几个、十几个或几十个连接数都还算比较正常，如果像上面成百上千肯定就不正常了。比如上面的167.215.42.88，这个ip的连接有2911个！这个看起来就很像是被攻击了！  
   
下面就说下通过DDoS deflate脚本来自动屏蔽DDOS攻击的ip  
1）下载DDoS deflate安装脚本，并执行安装。  
\[root@test3-237 ~\]\# wget http://www.inetbase.com/scripts/ddos/install.sh  
\[root@test3-237 ~\]\# chmod 0700 install.sh  
\[root@test3-237 ~\]\# ./install.sh  
   
\--------------------------------------------------------------------------  
卸载DDos default的操作如下：  
\# wget http://www.inetbase.com/scripts/ddos/uninstall.ddos  
\# chmod 0700 uninstall.ddos  
\# ./uninstall.ddos  
\--------------------------------------------------------------------------  
   
2）配置DDoS deflate下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ，内容如下：  
\[root@test3-237 ~\]\# cat /usr/local/ddos/ddos.conf  
\#\#\#\#\# Paths of the script and other files  
PROGDIR="/usr/local/ddos"  
PROG="/usr/local/ddos/ddos.sh"  
IGNORE\_IP\_LIST="/usr/local/ddos/ignore.ip.list"         //IP地址白名单  
CRON="/etc/cron.d/ddos.cron"                            //定时执行程序  
APF="/etc/apf/apf"  
IPT="/sbin/iptables"  
   
\#\#\#\#\# frequency in minutes for running the script  
\#\#\#\#\# Caution: Every time this setting is changed, run the script with --cron  
\#\#\#\#\#          option so that the new frequency takes effect  
FREQ=1                        //检查时间间隔，默认1分钟。设置检测时间间隔，默认是分钟，由于系统使用crontab功能，最小单位是分钟  
   
\#\#\#\#\# How many connections define a bad IP? Indicate that below.  
NO\_OF\_CONNECTIONS=150             //最大连接数，超过这个数IP就会被屏蔽，一般默认即可。默认是150，这是一个经验值，如果服务器性能比较高，可以设置200以上，以避免误杀  
   
\#\#\#\#\# APF\_BAN=1 (Make sure your APF version is atleast 0.96)  
\#\#\#\#\# APF\_BAN=0 (Uses iptables for banning ips instead of APF)  
APF\_BAN=0                      //使用APF还是iptables屏蔽IP。推荐使用iptables,将APF\_BAN的值改为0即可。设置为1表示使用APF，如果使用APF则需要先安装，centos中默认就没有安装  
   
\#\#\#\#\# KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)  
\#\#\#\#\# KILL=1 (Recommended setting)  
KILL=1                        //是否屏蔽IP，默认即可  
   
\#\#\#\#\# An email is sent to the following address when an IP is banned.  
\#\#\#\#\# Blank would suppress sending of mails  
EMAIL\_TO="root"              //当IP被屏蔽时给指定邮箱发送邮件，推荐使用，换成自己的邮箱即可。如果不希望发送邮件，设置为空，即EMAIL\_TO=""  
   
\#\#\#\#\# Number of seconds the banned ip should remain in blacklist.  
BAN\_PERIOD=600              //禁用IP时间（锁定ip的时间），默认600秒，可根据情况调整  
   
   
需要注意的是：  
DDos default安装完成后在/usr/local/ddos目录下产生了ddos.conf、ddos.sh、ignore.ip.list和LICENSE这四个文件，其中：  
ddos.conf是配置文件，ddos.sh是一个Shell文件，ignore.ip.list是存放忽略IP的文件，LICENSE是版权声明文件，安装完成后还在/etc/cron.d/下生产了ddos.cron文件，内容如下：  
   
\[root@test3-237 ~\]\# cat /etc/cron.d/ddos.cron  
SHELL=/bin/sh  
0-59/1 \* \* \* \* root /usr/local/ddos/ddos.sh >/dev/null 2>&1  
   
意思是每隔一分钟执行一下/usr/local/ddos/ddos.sh，这个脚本是关键！  
这个cron任务是依赖ddos.conf文件中的NO\_OF\_CONNECTIONS变量产生的，如果修改了此值，可以通过运行如下命令更新（实际也是在安装是运行了如下命令）：  
\[root@test3-237 ~\]\# /usr/local/ddos/ddos.sh -c  
Stopping crond:                                            \[  OK  \]  
Starting crond:                                            \[  OK  \]  
Stopping crond:                                            \[  OK  \]  
Starting crond:                                            \[  OK  \]  
   
或者  
\[root@test3-237 ~\]\# /usr/local/ddos/ddos.sh --cron  
Stopping crond:                                            \[  OK  \]  
Starting crond:                                            \[  OK  \]  
Stopping crond:                                            \[  OK  \]  
Starting crond:                                            \[  OK  \]  
   
   
3）DDos default选项  
\# /usr/local/ddos/ddos.sh -h       \#查看选项  
\# /usr/local/ddos/ddos.sh -k n     \#杀掉连接数大于n的连接。n默认为配置文件的NO\_OF\_CONNECTIONS  
  比如：  
  \[root@test3-237 ~\]\# /usr/local/ddos/ddos.sh -k 150  
      2 103.110.186.75  
      1 servers)  
      1 Address  
\# /usr/local/ddos/ddos.sh -c       \#按照配置文件创建一个执行计划。使得ddos.conf文件配置后生效

**CC攻击**

cc攻击主要攻击页面，模拟很多用户来不断的访问网站，导致系统资源被大量占用，那么在Linux系统中，我们要如何知道自己是否被cc攻击了呢？

**查看所有80端口的连接数**

netstat -nat|grep -i “80”|wc -l

**　　对连接的IP按连接数量进行排序**

netstat -ntu | awk ‘\{print $5\}’ | cut -d： -f1 | sort | uniq -c | sort -n

**　　查看TCP连接状态**

netstat -nat |awk ‘\{print $6\}’|sort|uniq -c|sort -rn

netstat -n | awk ‘/^tcp/ \{++S［$NF］\};END \{for（a in S） print a， S［a］\}’

netstat -n | awk ‘/^tcp/ \{++state［$NF］\}; END \{for（key in state） print key，“\\t”，state［key］\}’

netstat -n | awk ‘/^tcp/ \{++arr［$NF］\};END \{for（k in arr） print k，“\\t”，arr［k］\}’

netstat -n |awk ‘/^tcp/ \{print $NF\}’|sort|uniq -c|sort -rn

netstat -ant | awk ‘\{print $NF\}’ | grep -v ‘［a-z］’ | sort | uniq -c

**　　查看80端口连接数最多的20个IP**

netstat -anlp|grep 80|grep tcp|awk ‘\{print $5\}’|awk -F： ‘\{print $1\}’|sort|uniq -c|sort -nr|head -n20

netstat -ant |awk ‘/：80/\{split（$5，ip，“：”）;++A［ip［1］］\}END\{for（i in A） print A，i\}’ |sort -rn|head -n20

**　　用tcpdump嗅探80端口的访问看看谁最高**

tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F“。” ‘\{print $1“。”$2“。”$3“。”$4\}’ | sort | uniq -c | sort -nr |head -20

**　　查找较多time\_wait连接**

netstat -n|grep TIME\_WAIT|awk ‘\{print $5\}’|sort|uniq -c|sort -rn|head -n20

**　　查找较多的SYN连接**

netstat -an | grep SYN | awk ‘\{print $5\}’ | awk -F： ‘\{print $1\}’ | sort | uniq -c | sort -nr | more

**　　封单个IP的命令是：**

iptables -I INPUT -s 211.1.0.0 -j DROP

**　　封IP段的命令是：**

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

**　　封整个段的命令是：**

iptables -I INPUT -s 211.0.0.0/8 -j DROP

**　　封几个段的命令是：**

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP

**　　想在服务器启动自运行的话有三个方法：**

1、把它加到/etc/rc.local中

2、iptables-save 》/etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中，系统启动iptables时自动执

行。

3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中，系统启动iptables时自动执行。

后两种更好此，一般iptables服务会在network服务之前启来，更安全。

**　　解封的话：**

iptables -D INPUT -s IP地址 -j REJECT

iptables -F 全清掉了

[Linux_SYN]: http://www.cnblogs.com/ym123/p/4564311.html
[Linux_hping]: http://www.cnblogs.com/ym123/p/4553063.html

Linux安全之三大攻击(SYN,DDOS,CC)原理及处理

发表评论取消回复

还没有评论，来说两句吧...

相关阅读

相关 Django之sql注入，XSS攻击，CSRF攻击原理及防护

相关网络安全-跨站脚本攻击(XSS)的原理、攻击及防御

相关前端安全之XSS攻击

相关 PHP安全之Web攻击

相关 Linux安全之三大攻击(SYN,DDOS,CC)原理及处理

相关 ARP攻击原理及危害

相关前端安全之XSS攻击

相关 Web安全之CSRF攻击

相关 CSRF攻击原理及防御

相关 web安全之 -- SSRF攻击