SYNPROXY:廉价的抗 DoS 攻击方案

简介:

DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。在linux内核3.13里终于加入了SYNPROXY的新功能, 这个模块是一个基于链接跟踪的netfilter扩展,主要干的工作就是把来自客户端的初始SYN包标记成UNTRACKED然后直接导入 iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的 常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端,开发者Jesper Dangaard Brouer的数据表明SYNPROXY对 于对抗SYN FLOOD DOS攻击是非常有效的,笔者今天也在Debian和SLES-12-beta2对SYNPROXY进行了DoS测试,大致结果是在使用hping3和 metasploit进行测试,开启SYNPROXY后ksoftirq占用会从8%降低到3%以内,有兴趣的可以亲自去玩玩。

文章转载自 开源中国社区 [http://www.oschina.net]

相关文章
|
2月前
|
机器学习/深度学习 人工智能 安全
|
4月前
|
云安全 安全 数据库连接
什么是 DoS 和 DDoS 攻击?
【8月更文挑战第31天】
373 0
|
6月前
|
存储 安全 算法
智能合约中Gas限制和DoS攻击漏洞
智能合约中Gas限制和DoS攻击漏洞
78 7
|
监控 网络协议 安全
DoS和DDoS攻击
DoS和DDoS攻击
3541 0
|
传感器 算法 网络协议
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
368 0
|
缓存 网络协议 安全
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
936 0
|
安全 Shell
简单防御黑客DOS攻击shell脚本
简单防御黑客DOS攻击shell脚本
215 0
|
负载均衡 网络协议 安全
SYNPROXY:廉价的抗DoS攻击方案
DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。 在linux内核3.13里终于加入了SYNPROXY的新功能,这个模块是一个基于链接跟踪的netfilter扩展,主要干的工...
818 0
|
安全 网络安全 Perl
如何通过netstat命令判断是否遭受Dos攻击?遭到DDoS该如何缓解?
作为一个服务器运维人员,相信都遇到过服务器卡顿、延迟这种现象,原因有可能是脚本出错、程序BUG、服务器配置错误等,还有一种常见的可能是有人针对服务器发起了DDoS攻击,导致服务器拥堵或直接崩溃。DDos攻击是最常见的一种网络攻击方式
2741 0