SYNPROXY:廉价的抗DoS攻击方案

简介: DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。在linux内核3.13里终于加入了SYNPROXY的新功能,这个模块是一个基于链接跟踪的netfilter扩展,主要干的工...

DoS攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御DoS攻击,但黑客们更倾向于x86+GNU/Linux的组合,原因很简单:足够的廉价。

在linux内核3.13里终于加入了SYNPROXY的新功能,这个模块是一个基于链接跟踪的netfilter扩展,主要干的工作就是把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端。

开发者Jesper Dangaard Brouer的数据表明SYNPROXY对于对抗SYN FLOOD DOS攻击是非常有效的,笔者今天也在Debian和SLES-12-beta2对SYNPROXY进行了DoS测试,大致结果是在使用hping3和metasploit进行测试,开启SYNPROXY后ksoftirq占用会从8%降低到3%以内。

目录
相关文章
|
1月前
|
机器学习/深度学习 人工智能 安全
|
3月前
|
云安全 安全 数据库连接
什么是 DoS 和 DDoS 攻击?
【8月更文挑战第31天】
216 0
|
5月前
|
存储 安全 算法
智能合约中Gas限制和DoS攻击漏洞
智能合约中Gas限制和DoS攻击漏洞
74 7
|
监控 网络协议 安全
DoS和DDoS攻击
DoS和DDoS攻击
3497 0
|
传感器 算法 网络协议
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
【弹性分布式EMA】在智能电网中DoS攻击和虚假数据注入攻击(Matlab代码实现)
360 0
|
缓存 网络协议 安全
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
网络安全-DoS与DDoS攻击原理(TCP、UDP、CC攻击等)与防御
927 0
|
安全 Shell
简单防御黑客DOS攻击shell脚本
简单防御黑客DOS攻击shell脚本
209 0
|
安全 网络安全 Perl
如何通过netstat命令判断是否遭受Dos攻击?遭到DDoS该如何缓解?
作为一个服务器运维人员,相信都遇到过服务器卡顿、延迟这种现象,原因有可能是脚本出错、程序BUG、服务器配置错误等,还有一种常见的可能是有人针对服务器发起了DDoS攻击,导致服务器拥堵或直接崩溃。DDos攻击是最常见的一种网络攻击方式
2735 0
|
6月前
|
存储 Shell Linux
【Shell 命令集合 磁盘维护 】Linux 创建DOS文件系统 mkdosfs命令使用指南
【Shell 命令集合 磁盘维护 】Linux 创建DOS文件系统 mkdosfs命令使用指南
90 2