netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print }’| sort | uniq -c | sort -n

这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能，这个时候可以打开tcp_syncookies，输入如下命令
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持，需要重新编译内核
同时 降低syn重试次数

echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
 
加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高）
echo “2048″ > /proc/sys/net/ipv4/tcp_max_syn_backlog
 
如果还是不行，那么只能交给相应的硬件防火墙了。

#防止SYN攻击 轻量
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp –syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
/sbin/iptables -A INPUT -s $INNET -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i $EXTIF -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
/sbin/iptables -A INPUT -s $INNET -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

#设置icmp阔值 ,并对攻击者记录在案
/sbin/iptables -A INPUT -p icmp -m limit –limit 3/s -j LOG –log-level INFO –log-prefix “ICMP packet IN:”
/sbin/iptables -A INPUT -p icmp -m limit –limit 6/m -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP

# 防止端口扫描
iptables -I INPUT -p icmp –icmp-type echo-request -m state –state NEW -j DROP
#禁止PING

iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
#标志为FIN，URG，PSH拒绝

iptables -A INPUT -i eth0 -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP

（附：218。94。6。179/188两台服务器安装的WEBMIN限定*。181网关连接，密码为：fangzhi790529）
# 防止SYN FLOOD
iptables -N synfoold
iptables -A synfoold -p tcp –syn -m limit –limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT –reject-with tcp-reset
iptables -A INPUT -p tcp -m state –state NEW -j synfoold
# 禁止PING

iptables -N ping
iptables -A ping -p icmp –icmp-type echo-request -m limit –limit 1/second -j RETURN
iptables -A ping -p icmp -j REJECT
iptables -I INPUT -p icmp –icmp-type echo-request -m state –state NEW -j ping
# 端口过滤

#这个script 内容，很适合只允许外面链接特定的 port服务，剩下其余的 port 就拒绝外面主动链接
iptables -A INPUT -i eth0 -p tcp –dport 21 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 389 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 1002 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 1720 -j ACCEPT
  iptables -A INPUT -i eth0 -p udp –dport 2121 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 3306 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 8009 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 8080 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 8081 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp –dport 10000 -j ACCEPT
  iptables -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -i eth0 -m state –state NEW,INVALID -j DROP

ipdrop
　　如果能创建一个特殊的”ipdrop”脚本，其被设计为能方便地插入一个规则来阻塞指定的IP，那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作，只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞黑客的攻击将变为确定其攻击源地址。然后通过如下命令：

# ipdrop 129.24.8.1 on

IP 129.24.8.1 drop on.
　　
ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的

实现：
The ipdrop bash script
#!/bin/bash
source /usr/local/share/dynfw.sh
args 2 $# “${0} IPADDR {on/off}” “Drops packets to/from IPADDR Good for obnoxious networks/hosts/DoS”
if [ "$2" == "on" ]
   then

#rules will be appended or inserted as normal

APPEND=”-A”
INSERT=”-I”
rec_check ipdrop $1 “$1 already blocked” on
record ipdrop $1
elif [ "$2" == "off" ]
     then

#rules will be deleted instead

APPEND=”-D”
INSERT=”-D”
rec_check ipdrop $1 “$1 not currently blocked”off
unrecord ipdrop $1
     else
      echo “Error: “off” or “on” expected as second argument”
exit 1
   fi

#block outside IP address thats causing problems
#attackers incoming TCP connections will take a minute or so to time out,
#reducing DoS effectiveness.

iptables $INSERT INPUT -s $1 -j DROP
iptables $INSERT OUTPUT -d $1 -j DROP
iptables $INSERT FORWARD -d $1 -j DROP
iptables $INSERT FORWARD -s $1 -j DROP

echo “IP ${1} drop ${2}”
ipdrop:解释
　　从上面的脚本源代码中最后四行内容可以看到实际的命令是在防火墙表中插入适当的规则。可以看到$INSERT变量的值取决于在命令行参数中是使用”on”还是”off”模式。当iptables行被执行时特定的规则将被适当的插入或删除。

　　现在我们看看这些规则本身的功能，它们能和任何类型的防火墙一起发挥作用，甚至在没有部署防火墙的系统上。需要的条件仅仅是支持iptables的Linux2.4版本的内核。我们阻塞来自恶意IP的攻击数据报(第一条iptables语句)，阻塞发向恶意攻击IP的数据报(第二条iptables语句)，并且对该IP关闭任意方向的数据转发(最后两条iptables工具)。一旦这些规则发挥作用系统将丢弃满足这些条件的任何数据报。
　　
    另外一个需要注意的是：脚本中调用了”rec_check”, “unrecord”, “record”,和”args”。这些都是定义在”dynfw.sh”中的特殊的bash函数。”record”函数实现将被阻塞的IP记录在文件/root下隐藏文件dynfw-tcplimit中，而”unrecord”则是将其从文件/root下隐藏文件dynfw-tcplimit中去除。”rec_check”函数是在发现试图重新阻塞某个已经阻塞的IP地址或取消某个没有被阻塞的IP地址时输出错误信息并停止脚本执行。”args”函数实现确保命令行参数的正确性，并实现打印脚本帮助命令。文件dynfw-1.0.tar.gz包含所有的这些工具。
 
 
tcplimit
　　如果你需要对某个特殊的基于TCP的网络服务的使用进行限制(例如在端系统上产生严重负载时)，则tcplimit脚本则可以帮助你达到这个目的，该脚本使用TCP端口、一个率值和”on”或”off”作为参数：
# tcplimit 873 5 minute on
Port 873 new connection limit (5/minute, burst=5) on.
　　
    tcplimit使用iptables的”state”模块(应确保在内核中打开该选项或加载模块)来实现在某段时间内只允许特定数目的连接请求通过。在本例中防火墙将限制每分钟只允许5个新连接到我的rsync服务器(port 873)。当然你可以根据需要选择时间单位为秒钟/分钟/小时。
　　
    tcplimit提供了一个限制对非关键服务的使用的非常好的方法－这样大量到非关键服务的数据不会破坏服务器。在上面的例子中使用tcplimit来设置使用rsync的限制，以防止tsync数据占用了Internet连接的所有带宽。其中连接服务限制信息记录在文件/root下隐藏文件dynfw-tcplimit中。若想关闭该限制只需要键入如下命令：
# tcplimit 873 5 minute off
Port 873 new connection limit off.
　　
    tcplimit通过在”filter”表中创建一个新的规则链来实现。这个新的规则链将拒绝所有超过指定限制的数据报，同时将一个规则插入到INPUT规则链中，其将所有的到目标端口(在本例中是873端口)的新连接数据报定向到这个新的规则链。新规则链只会影响新的超过限制的连接而不会影响已经建立的连接。
　　
   当tcplimit定义的规则被关闭，INPUT规则和新规则链则会被删除。象ipdrop一样其tcplimit可以和任何类型的防火墙一起工作。
 
host-tcplimit
　　host-tcplimit和tcplimit非常类似，但是它是限制来自一个特定的IP的到服务器上某个特定端口的TCP连接数量。host-tcplimit在防止某个特定的人滥用你的网络资源时非常有用处。例如你维护有一个CVS服务器，有一天突然发现一个特殊的新开发者出现了，他好像建立了一个脚本每十分钟更新它的资源。占用了大量的网络资源。
　　
   对于这种情况，使用host-tcplimit可以非常容易的解决问题：
 
# host-tcplimit 1.1.1.1 2401 1 day on
　　
现在IP地址为1.1.1.1被限制为每天只能进行一次CVS连接从而节省了网络带宽。

与本文关系暧昧的文字

• SYN Cookie Firewall
• Iptables＋tc 网吧每IP 限速脚本
• 用Iptables 而非tc 限制流量
• 网吧Linux 网关设置记录
• iptables 基本命令使用举例

© xiao H for LinuxByte, 2008
Source: LINUX下的SYN攻击防御
No comment
Post tags: Firewall, iptables, SYN

相关日志

• SYN Cookie Firewall (1)
• 网吧Linux 网关设置记录 (0)
• 用Iptables 而非tc 限制流量 (5)
• Iptables＋tc 网吧每IP 限速脚本 (5)
• iptables 基本命令使用举例 (0)

Feed enhanced by Better Feed from Ozh

本文介绍了４个概念
一：介绍SYN
二：什么是SYN洪水攻击
三：什么是SYN cookie

四：什么是SYN cookie防火墙
C=client(客户器)
S=Server(服务器)
FW=Firewall(防火墙)

一：介绍SYN
SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句，默认的stat是no),但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。二：什么是SYN洪水攻击？（来自CERT的警告）
当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。
首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：）
Client Server
—— ——
SYN——————–>

<——————–SYN-ACK

ACK——————–>

Client and server can now
send service-specific data

在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要耗费一定的数量的系统资源来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击。

通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。
而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续攻击。
在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统还是可能耗尽系统资源，以导致其他种种问题。攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。

三：什么是SYN cookie？
SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接，然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回，S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以避免守侯半开放连接了。
以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细

内容。
4，什么是SYN COOKIE 防火墙
SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。
下面是SYN cookie防火墙的原理
client firewall server
—— ———- ——
1. SYN———– – - – - – - – - – ->
2. <————SYN-ACK(cookie)
3. ACK———– – - – - – - – - – ->
4. – - – - – - -SYN—————>
5. <- – - – - – - – - ————SYN-ACK
6. – - – - – - -ACK—————>

7. ———–> relay the ——->
<———– connection <——-
1:一个SYN包从C发送到S
2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3：C发送ACK包，接着防火墙和C的连接就建立了。
4：防火墙这个时候扮演C的角色发送一个SYN给S
5：S返回一个SYN给C
6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了
7：防火墙转发C和S间的数据
如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击

五：下载

ip_scfw-0.92.tar.gzhttp://www.bronzesoft.org/projects/scfw/ip_scfw-0.9.2.tar.gz)是最新的版本，他包括一个for linux 2.2.17内核的补丁和管理工具，下载他并按照readme文件安装。

Designhttp://www.bronzesoft.org/projects/scfw/Design）是一个详细的解释了这个代码的文档，它也包含在这个tar-gz包内，你也可以在线阅读它

ChangeLoghttp://www.bronzesoft.org/projects/scfw/ChangeLog）说到了这个计划的进展。

tcpdos.tgzhttp://www.bronzesoft.org/projects/scfw/tcpdos.tgz)是一个发起SYN洪水攻击的工具，你可以使用它来测试你的SYN cookie防火墙

与本文关系暧昧的文字

• LINUX下的SYN攻击防御

© xiao H for LinuxByte, 2008
Source: SYN Cookie Firewall
One comment
Post tags: Firewall, SYN

相关日志

• LINUX下的SYN攻击防御 (0)

Feed enhanced by Better Feed from Ozh