Linux安全之三大攻击(SYN,DDOS,CC)原理及处理
名词:三大攻击(SYN, DDOS, CC)
概念:
- SYN Flood攻击:攻击者向目标系统发送大量的 SYN 数据包,占用目标系统的可用资源,导致正常用户无法完成正常请求。攻击者通过在目标系统上伪造源IP地址来隐藏自身痕迹。
- 拒绝服务攻击(DDoS):通过大量伪造IP攻击目标服务器,消耗目标服务器资源,导致正常用户无法访问目标网站或资源。
- 连接池攻击(CC攻击):攻击者通过发送大量请求消耗目标服务器连接池、数据库资源,导致正常用户无法访问目标网站或资源。
优势:
- 三种攻击都是针对服务器进行恶意行为,导致服务器性能下降,影响正常业务运行。
- 三种攻击都具有一定的隐蔽性,很难被及时发现和分析,给安全防护带来一定难度。
- 三种攻击都采用大量的请求流量淹没目标服务,消耗目标系统的资源,导致目标服务器无法正常为用户提供服务。
应用场景:
- SYN Flood攻击:针对DDoS、CC攻击防御场景。攻击时检测目标服务器与网络设备之间的网络连接异常,识别并隔离恶意流量。
- 拒绝服务攻击(DDoS):针对DDoS攻击防御场景。采取多层次立体防御体系,如黑洞路由、分布式防火墙等,确保服务稳定运行。
- 连接池攻击(CC攻击):针对CC攻击防御场景。识别并清除具有高频请求特征的请求,限制单个用户发起大量请求等,确保服务器性能不受影响。
推荐的腾讯云相关产品简介链接:
- 黑洞路由:用于防御DDoS攻击的产品,为不同业务场景提供针对性防护。
- 安骑士:提供了防火墙、CC防御、DDoS防御等多种安全套餐,帮助企业防御各种类型的网络攻击。
- 负载均衡:通过将请求分配到多个服务器上,确保业务在高并发高流量的情况下正常运行。
- CDN业务:采用分布式节点转发流量,提高访问速度,降低业务受到攻击时的影响。
- 弹性伸缩:在业务高峰时自动扩展资源,保障服务稳定性;高峰结束后自动缩减资源,降低资源使用成本。
相关·内容
1回答
GCP云装甲DDoS设置
、、、
我想知道云甲是怎么工作的。当我创建“策略中的空规则”(允许所有交易)时,默认情况下是否启用了DDoS保护?或者DDoS保护仅仅是HTTP负载均衡器的一部分?
这是我的笔记:
负载均衡器在默认情况下具有基本的DDoS保护,如SYN洪水、IP碎片泛滥、端口耗尽等。
云装甲在默认情况下仅通过“空策略”规范添加额外的保护
您可以使用云装甲对IP位置等进行额外的过滤,以获得更好的保护。
在每种场景中,您都需要考虑GCS签名的url、WAF、VPC、IAM、内部网络等,以获得最佳效果--还需要在终端制作安全的应用程序(第一视图的captcha保护等)。
如果还不够,可以使用合作伙伴解决
浏览 4提问于2020-06-19得票数 2
回答已采纳
我们目前正在使用AWS OpsWorks创建的“标准”体系结构。我们已经在多台机器前面设置了AWS ELB,它使用循环算法将请求发送到一台机器(我们没有任何cookie的无状态应用程序)。Apache + Apache安装在每台计算机上(由AWS OpsWorks设置和配置的所有内容)。因此,Apache处理该连接,然后通过AJP连接将其发送给Tomcat。
我想摆脱apache。这样做的理由很少:
更简单的架构,更简单的配置
也许在性能上略有提高
更少的监视(只需要监视Tomcat,而不是Apache )
我检查了以下线程:
也没有找到任何理由说明为什么我不应该将apac
浏览 1提问于2016-06-05得票数 0
当我的服务器运行缓慢时,有人告诉我运行这个命令,并检查是否有人请求SYN_RECV来减慢我的服务器速度:
netstat -npt | grep SYN_RECV | awk '{print $5}' | grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head | tee -a $REPORT_FILE
输出示例:
Single attack IP - DOS:
262 187.7.214.146
1 95.90.250.96
浏览 0提问于2020-05-19得票数 3
回答已采纳
在过去的几周里我一直受到DDOS的攻击。
现在看来,我的服务器网络正在被淹没,直到它没有空间来接收和发送正常的包。
我运行CentOS5.6,并加强了SYSCTL和iptables,以尽可能地抵御SYN攻击。
我有一个100 my网卡和连接到我的托管公司。
正常输入流量约为8mbit/s,攻击发生时数据峰值达到100 8mbit。
如果我将服务器升级到1 1GBPS网卡+网络连接,它能帮助我抵御攻击吗?
我希望管道在受到攻击时不要这么快泛滥。
浏览 0提问于2011-08-08得票数 5
回答已采纳
1回答
我读过IP欺骗经常用于拒绝服务攻击的文章,我最近还读到了关于入口过滤的文章,它试图使用黑名单过滤伪造的IP地址,以抵御DDoS攻击。我想知道在DDoS攻击中,欺骗是如何起作用的。它不是通常被蠕虫感染的僵尸计算机,启动pings或TCP SYN数据包吗?当这些数据包直接来自僵尸计算机时,如何检测到它们是伪造的呢?似乎他们读的是完全有效的IP地址,僵尸计算机的IP地址。欺骗在哪里进入图片?
浏览 0提问于2015-12-28得票数 3
回答已采纳
1回答
这种DoS攻击是否有效:
攻击者确定目标(10.0.0.1)
攻击者使用src addr为10.0.0.1将ack数据包发送到一桶web服务器。
服务器使用syn数据包回复10.0.0.1
目标是有效的投药,还是我们在方程中加入了任意的步骤?
浏览 0提问于2012-10-26得票数 7
回答已采纳
1回答
查找用于阻止IP的通用字符串
、、、、
现在我有所有的in人进来了。是否有一种方法可以在数据包的内容中找到公共字符串,然后通过IPTables阻止攻击?
Oct 24 16:28:52 host kernel: [ 823.255566] Firewall: *SYNFLOOD Blocked* IN=eth0 OUT= MAC= SRC=176.3.80.132 DST=28.7.4.90 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=28861 PROTO=TCP SPT=1234 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Oct 24 16:28:54 host
浏览 0提问于2012-10-24得票数 0
回答已采纳
对抗一次大的SYN洪水攻击,每2分钟重复发生一次。
在攻击期间,syn-rcv的数目在290-550之间。
ss -n state syn-recv sport = :80 | wc -l
CPU 100% (htop输出)
📷
尝试过cloudflare防火墙,一点帮助都没有,似乎帮不上忙
积压增加到16K,启用SYN Cookies ..。什么也帮不了..。
浏览 0提问于2020-04-02得票数 2
2回答
什么是毒镖攻击?
、、
来自Forrester Wave™:Q3服务提供商,Q3 2015报告,(强调我的):
攻击类型防御CGI请求、拒绝能力、稀释低速率降级、直接、DNS请求攻击、高速率破坏、混合攻击、ICMP攻击、各向同性攻击traf c分布、陆地攻击、非各向同性攻击traf c分布、死亡平、reector、TCP重置、TCP SYN泄漏、泪滴攻击、UDP溢出、变化速率、高容量AppSec、毒飞镖、慢后攻击和起源错误攻击。
浏览 0提问于2016-01-06得票数 10
如何使用iptables为每个连接(实时)创建自定义规则,从而自动阻止所有传入通信量?
为了澄清-情况是,我的linux盒是DDOSed通过端口80,我想设置iptables捕捉和阻止所有的攻击机器人。几个小时后(希望所有的机器人都用光了),我取消了政策,让合法的www流量进入。
编辑:或者,如果你可以建议任何其他的方法来保护自己免受(可能)分布式SYN洪水的影响。
浏览 0提问于2011-03-26得票数 1
3回答
最近我读到了不同的拒绝服务方法。一种突出的方法是SYN洪水。我是一些不太好的论坛的成员,有人在卖一个python脚本,它会使用带有欺骗IP地址的SYN数据包来DoS服务器。
但是,如果将SYN数据包发送到带有伪造IP地址的服务器,目标服务器将将SYN/ACK数据包返回给被欺骗的主机。在这种情况下,被欺骗的主机不会返回一个RST数据包,从而取消75秒的长等待,并最终失败地尝试DoS服务器?
编辑:如果我不使用SYN曲奇呢?
浏览 0提问于2010-05-15得票数 5
回答已采纳
2回答
DDOS攻击解释
、、、
我有一些关于ddos攻击和它是如何工作的问题,我真的需要一些很好的解释,因为我找不到任何好的参考资料可以帮助我。
问题:
PPS (每秒数据包)和MBPS之间的关系是什么?如果防火墙丢弃数据包,那么每秒500 k这样的大量pps是否会导致ddos?
ddos (如syn/udp洪流)能否仅通过iptables得到完全缓解,并且iptables能够处理任何类型的ddos,涉及其强度和速度,安装在被攻击的同一服务器上的iptables是否能够处理大量的pps,并在没有任何问题或影响性能的情况下丢弃它们?
对于syn洪水,大多数ppl建议使用syn cookie作为缓解syn洪水的完美解决方案,但不
浏览 0提问于2012-05-13得票数 0
ubuntu服务器上的Fount攻击
netstat -nputw
送出
Local Address Foreign Address State PID/Program name
55.57.72.37:59792 123.166.137.95:25000 SYN_SENT 2890/ip6tablesu.sh
我在网上发现123.166.137.95是中国的ip地址
我该如何阻止到那个地址的出站流量?
浏览 0提问于2016-01-06得票数 -1
2回答
防范可能的同步泛洪DDoS攻击
、、、、
我在一个给定的端口(假设是1234)上运行服务。有时它是无法到达的。当我检查dmesg时,我看到:
TCP:端口1234上可能存在SYN泛洪。发送曲奇。检查SNMP计数器
net.ipv4.tcp_max_syn_backlog设置为1024
当我检查netstat时,我看到:
tcp 0 0 exampledomainname.com:5008 ip190-5-138-234.i:56772 SYN_RECV
tcp 0 0 exampledomainname.com:5008 ip190-5-138-234.i:56771 SYN_RECV
tcp 0 0 exampledomainnam
浏览 9提问于2018-01-23得票数 1
4回答
我有一个5.3w/几个虚拟机和一个运行虚拟pc的虚拟机
cpu: intel quad 2.83 mem: 3.5G os: Linux 2.6.18-128.1.14.el5xen #1 SMP Mon Jun1 16:09:30 x86_64 2009
它还运行wordpress,突然之间,我遇到了某种攻击(看起来就像悍马网站),我的vm在那里死了,我甚至在那里安装了超级缓存wp插件,没有起到那么大的作用。
我怎样才能
( b)使我的服务器/站点能够承受这些攻击
浏览 0提问于2009-07-24得票数 1
回答已采纳
1回答
我的网站一直都有几个用户在线。服务器使用Apache/PHP、数据库和Memcached。在正常使用时,该应用程序工作良好和快速。
然而,服务器似乎有时会受到"SYN洪泛“攻击。我真的相信/怀疑这些是故意的,而不是由我们的合法用户造成的。(当有些人注册新账户并试图制造麻烦时,这种情况似乎就会发生)
6月27日22:12:21 xxxx内核:xxxx.xxxx在端口443上可能出现SYN洪流。送饼干。2月27日22:13:22 xxxx内核:xxxx.xxxx端口443上可能出现的SYN洪水。送饼干。6月27日22:14:25 xxxx内核:xxxx.xxxx在端口443上可能出现SYN
浏览 0提问于2016-06-28得票数 2
回答已采纳
2回答
DDOS攻击阈值
、、
我试图理解和模拟SYN攻击。我正在使用snort发出警报。虽然我控制了测试的速率,但我想知道对于实际的攻击来说,对流量的准确估计是什么?
浏览 0提问于2018-11-01得票数 4
回答已采纳
1回答
我最初发布了一个问题这里,因为我不熟悉服务器上的实际分布式拒绝服务攻击(DDoS)。我注意到,我的服务器对HTTP请求的响应非常慢,而HTTPS请求则相当好(但不像预期的那样好)。
通过做一些分析,看看dmesg和apache的error.log (超过5GB)的不断增长的大小,我发现我正在受到DDoS攻击。我关闭了Apache并做了一个netstat,我发现所有的SYN flood都不见了。
总结如下:
问题是远程服务器在端口80上向Apache发起请求,并且会打开tcp连接,从而耗尽Apache的资源。
我所做的:
我检查了我是否有任何Apache更新,但我是最新的。
为了确保我的服务器没
浏览 0提问于2012-10-22得票数 8
回答已采纳
例如,我有一个实例,并使用Security,允许仅从我自己的IP地址获得收入流量。我的问题是:如果攻击者获得实例IP地址,他还能攻击我的实例(类似DDOS)吗?
浏览 3提问于2016-03-08得票数 3
回答已采纳
我正在使用DDoS测试一个新购买的VPS漏洞。
如果我不使用--洪水,一切都很好,每次都会有接近0%的数据包丢失。但是如果我使用--洪水,那么数据包丢失总是100%。这是正常的吗?
我认为hping3没有等待足够的时间来接收ACK,只是用SYN请求淹没了VPS。是这种情况还是根本没有发送SYN请求?
浏览 0提问于2015-10-16得票数 0
我带着我的第一个问题来到这里,因为我不知道该怎么做了。 我有一个URL(来自没有安全措施的API的端点),它返回给我一个2.5mb的json,其中包含近3000个产品。这里都很好。问题是: 如果我在带有XAMPP服务器的LOCALHOST上使用以下代码...一切都很好。我返回的整个JSON都是有效的,我可以对它使用json_decode(),并从中获得乐趣。 $response= file_get_contents($url);
var_dump($response); 但 如果我在我的主机上使用相同的代码,我的网站在production...all中,我得到的是一个块/有时减半的JSON,
浏览 42提问于2020-09-19得票数 0
回答已采纳
我的网站受到DDos攻击(UDP泛滥)!
我无法访问linux shell,只有cpanel可用于我!:(
有没有可能通过php脚本来防止这种攻击?
有没有办法配置cpanel来减少或重定向攻击?多么?
根据虚拟主机服务台:攻击速度在6到10 Gbit/s之间!
下面的代码有用吗?
<?PHP
if (!isset($_SESSION)) { session_start(); }
// anti flood protection
IF($_SESSION['last_session_request'] > time() - 2){
// users
浏览 3提问于2012-07-31得票数 5
回答已采纳
我有一个linux网络主机服务器,它吸引DDOS攻击。我想使用Cisco ASA 5500系列自适应安全装置来保护linux服务器免受它们的攻击。我知道在您选择合适的硬件防火墙之前,应该知道很多因素,比如这个DDOS和pps ..etc的数量。
请建议一个linux工具来测量这些因素,并帮助我收集所需的信息( pps - DDOS的数量-并发连接和其他因素)。
浏览 0提问于2012-06-04得票数 1
回答已采纳
我希望使用一个软件来保护LAMP服务器,该软件将检测来自单个IP号的请求的平均数量(在本例中为DNS查询),并将这些主机添加到IPTables拒绝链中。
因此,如果我的Bind / Centos DNS服务器将同时处理来自多个主机的UDP数据包流形式的拒绝服务,这台机器上有10 10GBps的接口来处理大量传入的数据包,ip表可以处理许多主机。
是否有任何工具/方法来真正做到这一点?我知道有日志,我应该使用这个,还是有一些模块更适合这一点?
简单地说,每个IP号码都有超过UDP查询率的一些no。将每秒的请求添加到黑名单文件中,并根据该文件生成IPTables链。
因此,我的问题是,如何从特定主
浏览 0提问于2012-07-25得票数 4
回答已采纳
5回答
我最近有一个服务器停机。我到处都找过了,我在日志文件中唯一找到的就是:
Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.
谁能给我更多关于这件事的信息。WHat就是它,我如何调试原因和如何修复相同的原因。我还发布了天涯突然变得太大了,这是我发现的另一个不寻常的数据点,我想知道这两件事是否是连接在一起的,因为它
浏览 0提问于2011-02-17得票数 4
2回答
嗨,我是一个网络新手,仍然混淆了三方握手和拒绝服务攻击之间的关系。
如我们所知,如果客户端不发送ACK来完成这个3路握手的第三步,最终(通常在一分钟或更长时间后)服务器将终止半开放连接并收回分配的资源。
所以我的问题是:
为什么攻击者只是做第一步的三方握手?他们为什么不像普通用户一样完成三步握手,与服务器完全连接,这样就占用了服务器的资源。
经典教科书:计算机网络:自上而下的方法描述了TCP避免Dos攻击的方法:
服务器创建一个初始的TCP序列号,它是一个复杂的函数(散列函数),包含源和目标IP地址和SYN段的端口号,以及一个仅为服务器所知的秘密号码。如果客户端不返回ACK段,那么原始SYN在
浏览 0提问于2018-05-09得票数 5
回答已采纳
我阅读了关于TCP Cookie事务的RFC6013。实际上,cookie事务可以阻止DDOS。但这只是一种TCP选项。它需要客户端和服务器端同时支持。但是,如果客户端是恶意攻击者,为什么要使用此选项呢?
我不认为TCP Cookie事务可以阻止DDOS
如果客户端不使用该选项,TCPCT如何阻止DDOS?
浏览 0提问于2012-08-02得票数 0
1回答
我的服务器正被一个巨大的安全DNS淹没。这是在daemon.log和syslog文件中编写大量条目时产生的高I/O。感谢fail2ban,我能够禁止那些IP并使服务器恢复正常。
由于我是Linux学习者,所以我来这里询问有关这方面的一些细节。服务器正在Debian上运行。
下面是一个daemon.log文件的示例:
Jan 27 20:47:43 server named[xxxx]: client 37.110.213.97#51810: query (cache) '2.SecureDNS.AVASt.CoM/TXT/IN' denied
Jan 27 20:47:49 s
浏览 0提问于2018-01-28得票数 1
回答已采纳
1回答
AWS免费提供AWS盾牌,它们看起来非常相似。现在,DDoS保护是我去云的最重要的原因,所以这可能是决定因素。
浏览 6提问于2019-12-27得票数 4
回答已采纳
我一直在谷歌云装甲文档中搜索有关GCP计算VM实例的DDoS保护的信息。据我所见,谷歌云装甲管理保护提供了传统的DDoS保护(可能是第3层和第4层),它必须附加到负载均衡器上。此外,谷歌云装甲自适应保护通过网络流量中基于机器学习的异常检测来提供第7层保护,并且它必须通过谷歌云装甲安全策略应用,而C3必须附加到负载均衡器上。
但是负载平衡器与实例组而不是单个VM实例相关联,它们用于自动标注实例(例如基于实例模板),而不是单个VM实例。我正在运行几个独立的有状态服务器应用程序(每个在它们自己的VM实例中),在这些应用程序中,自动标号实际上不是一个选项。
我可以定义一个实例组(即将自动标度规则设置为
浏览 0提问于2022-01-18得票数 1
激活时,Amazon EC2 DDOS保护屏蔽会抛出什么?HTTP(S) 503?
这能发生多少? 5000到10000次“同时”的请求?
这是公开的信息在什么地方可以得到吗?
浏览 0提问于2021-06-25得票数 0
2回答
登录后,服务器可以在API和WAF级别检查授权、令牌等,以减少DDoS攻击。但这只能在用户登录之后才能发生。如何保护登录API上的DDoS攻击?我想我们可以使用ip地址作为检测攻击的提示之一,但是还有哪些其他选项可用呢?谢谢!
浏览 0提问于2019-10-06得票数 2
参见提到的的待办事项处理参数
所有侦听()方法都可以采用一个待定参数来指定挂起的连接队列的最大长度。实际长度将由操作系统通过sysctl设置确定,例如Linux上的tcp_max_syn_backlog和somaxconn。此参数的默认值为511 (而不是512)。
如能对这一参数作更彻底的解释,将不胜感激。在阅读了这些描述之后,脑海中浮现出一些问题:
什么时候连接‘待定’vs接受?
如何最大限度地利用这个backlog限制?
当超出backlog参数时会发生什么,是否返回了一个错误?
浏览 6提问于2020-10-12得票数 1
回答已采纳
11回答
个人用户如何有效防止DOS攻击?
、、、、
个人用户如何有效防止DOS攻击呢?我的个人博客网站经常被DOS攻击,估计是得罪了什么人,经常被弄得关站,我知道想要完全杜绝掉DOS是非常难得事情,几乎不可能完全杜绝,而最有效的办法肯定是砸钱,购买高配置主机,我也知道腾讯云有大禹系统,可以几乎完全杜绝掉DOS攻击,但是太贵了,这对于企业来说不算什么,但是对于个人用户来说,简直是天文数字,消费不起,我不奢求能完全杜绝掉,哪怕是能减轻一点也好,各位大大们,有什么好办法呢?最好能提供有效的解决方案或者代码,脚本什么的,谢谢!
浏览 3325提问于2018-02-26
2回答
我们的系统使用运行在Ubuntu10.04上的Cassandra,在最后一次流量高峰期间,我们在日志中观察到以下消息:
possible SYN flooding on port 9160. Sending cookies.
这些机器不是公开可用的,通信是合法的--它来自我们自己的应用服务器。
有人知道内核进入"cookie“模式对调用者有什么影响吗?据我了解,服务器停止向待办队列添加半开放连接(SYN_RECV),但它是否以任何方式影响调用方(即我们的.NET应用程序)?是否有什么节流/延迟会引发恶性循环?
考虑到这些是内部机器,这种保护是否有意义?默认值tcp_max_syn_ba
浏览 0提问于2012-01-25得票数 3
回答已采纳
我想找出一个网站的IP地址,它是使用cloudflare传送的。在Linux中使用Linux脚本或某种方法。
已经有一个问题被提出来了,但没有答案就结束了。https://webmasters.stackexchange.com/questions/55961/how-to-find-out-the-hosting-provider-of-a-website-protected-with-cloudflare
我希望在这里得到答案。
浏览 0提问于2018-02-20得票数 0
我正在写一个有很多恶毒竞争对手的web服务。恶毒如:人们已经得到了DDoS在几个小时内建立商店在这个舞台上。
该服务将包括:
一个你可以注册并查看统计/等等的网站.(所有这些都使用https提供)
在端口8000+范围内运行的web服务。
哪个端口(如果有的话)最容易攻击和/或关闭服务器?web服务器还是web服务?
我知道nginx有一些相当好的DDoS保护,所以我正在调查,并为网站负载平衡。
任何关于使用linux对其他各种端口进行动态DDoS保护的建议都将不胜感激。
浏览 0提问于2011-07-19得票数 3
回答已采纳
1回答
我希望在一个数据中心主持一个网络应用程序,我正在考虑一些选择。他们似乎都有信誉,并声称提供反DDoS保护。
如果几乎每一家主机提供商都提供反DDoS保护,这是否意味着( a) DDoS攻击的威胁较小,因为反DDoS技术已经赶上,或者( b)这些说法中有许多不像广告中所宣称的那样可靠,如果是的话,我如何判断一家网络托管公司是否真的受到了DDoS的保护?
谢谢。
浏览 0提问于2017-02-11得票数 3
回答已采纳
如果没有从主机接收到SYN,是否有方法阻止Windows主机发送RST数据包?
是否有布尔注册表项?我不喜欢使用外部工具,但如果这是唯一的解决方案,请提到这一点。
但是,就我的目的而言,如果没有其他方法,只对特定的IP地址、网络接口甚至特定端口禁用该机制是可以的。
我在Windows 2008 R2上。
浏览 0提问于2014-11-03得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
