网页在翻页到一个特定的页面的时候,和服务器80端口的连接被中止。
查看了netstat -anlp 发现有类似以下的记录,而IP就是我的。
tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 SYN_RECV -由于可能是程式的问题,因为仅仅在浏览这张网页的时候会出现这个问题,但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下,在此总结一下。
网页在翻页到一个特定的页面的时候,和服务器80端口的连接被中止。
查看了netstat -anlp 发现有类似以下的记录,而IP就是我的。
tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 SYN_RECV -由于可能是程式的问题,因为仅仅在浏览这张网页的时候会出现这个问题,但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下,在此总结一下。
1.对于大量的 SYN_RECV
若怀疑是SYN Flood攻击,有以下建议:
这个攻击的解决方法如下:
1,增加未完成连接队列(q0)的最大长度。
echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
2, 启动SYN_cookie。
echo 1>/proc/sys/net/ipv4/tcp_syncookies
这些是被动的方法,治标不治本。而且加大了服务器的负担,但是能够避免被拒绝攻击(只是减缓)
治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文档中
假如对 /proc/sys/net/ipv4 下的配置文档进行解释,能够参阅 LinuxAid技术站的文章。查看本文全文也能够参阅。
关于 syn cookies, 请参阅 <
也许 使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。
最终,仅仅修改了这个参数,但是也加上了iptables的防火墙规则,问题解决。
2.什麼是 TCP SYN Flood 攻擊?
發表日期: 星期二, 15 六月 2004 @ 01:36:47 台北標準時間
TCP SYN Flood是一種常見,而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式,他透過一定的操作破壞TCP三次握手建立正常連接,佔用並耗費系統資源,使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的,他能够在任意改變自己的網路IP地址的同時,不被網路上的其他設備所識別,這樣就給防範網路犯罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中,這種攻擊屢見不鮮。在一個拍賣網站上,曾經有犯罪分子利用這種手段,在低價位時阻止其他用戶繼續對商品拍賣,干擾拍賣過程的正常運作。
系統檢查
一般情況下,能够一些簡單步驟進行檢查,來判斷系統是否正在遭受TCP SYN Flood攻擊。
1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。
2、透過 netstat -an 命令檢查系統,發現有大量的SYN_RECV連接狀態。
3. iptables的配置,引用自CU
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次,能够根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
附:
Iptables 指南 1.1.19
防火墙例子:
在Linux上使用iptables命令,建立一个个人防火墙
参阅:
proc文档系统面面谈
http://www.linuxaid.com.cn 02-01-16 21:34 5467p ideal
----------------------------------------------------------------------
什么是proc文档系统
proc文档系统是个伪文档系统,他只存在内存当中,而不占用外存空间。他以文档系统的方式为访问系统内核数据的操作提供接口。用户和应用程式能够通过proc得到系统的信息,并能够改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程式读取proc文档时,proc文档系统是动态从系统内核读出所需信息并提交的。他的目录结构如下:
目录名称 目录内容
apm 高级电源管理信息
cmdline 内核命令行
Cpuinfo 关于Cpu信息
Devices 能够用到的设备(块设备/字符设备)
Dma 使用的DMA通道
Filesystems 支持的文档系统
Interrupts 中断的使用
Ioports I/O端口的使用
Kcore 内核核心印象
Kmsg 内核消息
Ksyms 内核符号表
Loadavg 负载均衡
Locks 内核锁
Meminfo 内存信息
Misc 杂项
Modules 加载模块列表
Mounts 加载的文档系统
Partitions 系统识别的分区表
Rtc 实时时钟
Slabinfo Slab池信息
Stat 全面统计状态表
Swaps 对换空间的利用情况
Version 内核版本
Uptime 系统正常运行时间
并不是任何这些目录在您的系统中都有,这取决于您的内核配置和装载的模块。另外,在/proc下更有三个很重要的目录:net,scsi和sys。Sys目录是可写的,能够通过他来访问或修改内核的参数(见下一部分),而net和scsi则依赖于内核配置。例如,假如系统不支持scsi,则scsi目录不存在。
除了以上介绍的这些,更有的是一些以数字命名的目录,他们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的PID号为目录名,他们是读取进程信息的接口。而self目录则是读取进程本身的信息接口,是个link。Proc文档系统的名字就是由之而起。进程目录的结构如下:
目录名称 目录内容
Cmdline 命令行参数
Environ 环境变量值
Fd 一个包含任何文档描述符的目录
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
