DDOS之TCP SYN Flood解决方式收集

       TCP SYN Flood是一种常见，并且有效的远端(远程)拒绝服务(Denial of Service)***方式，它透过必定的操做破坏TCP三次握手创建正常链接，占用并耗费系统资源，使得提供TCP服务的主机系统没法正常工做。

1、如何判断

1、服务端没法提供正常的TCP服务。链接请求被拒绝或超时。

2、透过 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'命令检查系统，发现有大量的SYN_RECV链接状态。

检查服务器连接，SYN_RECV数量异常，访问服务器网页特别慢，甚至超时，因此基本断定是SYN_RECV***。

2、解决方法

1，增长未完成链接队列（q0)的最大长度。

echo1280>/proc/sys/net/ipv4/tcp_max_syn_backlog

2, 启动SYN_cookie。

echo 1>/proc/sys/net/ipv4/tcp_syncookies

这些是被动的方法，治标不治本。并且加大了服务器的负担，可是能够避免被拒绝***（只是减缓）

治本的方法是在防火墙上作手脚。可是如今能在必定程度上防住syn flood***的防火墙都不便宜。而且把这个命令加入"/etc/rc.d/rc.local"文件中

若是对 /proc/sys/net/ipv4 下的配置文件进行解释，能够参阅 LinuxAid技术站的文章。查看本文全文也能够参阅。

关于 syn cookies， 请参阅 <>http://cr.yp.to/syncookies.html

也许使用mod_limitipconn.c来限制apache的并发数也会有必定的帮助。

2. iptables的设置，引用自CU

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit1/s -j ACCEPT

也有人写做

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s-j ACCEPT

--limit 1/s 限制syn并发数每秒1次，能够根据本身的须要修改

防止各类端口扫描

# iptables -A FORWARD -p tcp --tcp-flagsSYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水***（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request-m limit --limit 1/s -j ACCEPT

来源于百度百科