Linux下简单防止syn洪水攻击，抵御DDOS

承接技术与支持服务本站可提供技术支持，另外本站可承接：各类网站、各类平台、各类源码、各类 APP、各类小程序、各类软件、各类盘口、Telegram 所有机器人开发定制、以及手机电脑远控的搭建开发定制都可以，最快当天就能出方案！

提供网站后台、域名、源码、服务器，一站式服务。从注册域名、配置服务器到后期维护全程包办，飞猪站长手把手教到会用，重要项目 3 天内上线，不玩套路，有问题随时找我们免费处理，让您省心又省力！

查看当前网络连接

netstat -n | awk \’/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}\’

返回结果如下：

TIME_WAIT 866
FIN_WAIT1 35
FIN_WAIT2 8
ESTABLISHED 1520
SYN_RECV 299
LAST_ACK 3

SYN_RECV表示正在等待处理的请求数；ESTABLISHED表示正常数据传输状态；TIME_WAIT表示处理完毕，等待超时结束的请求数。
状态：描述
CLOSED：无连接是活动的或正在进行
LISTEN：服务器在等待进入呼叫
SYN_RECV：一个连接请求已经到达，等待确认
SYN_SENT：应用已经开始，打开一个连接
ESTABLISHED：正常数据传输状态
FIN_WAIT1：应用说它已经完成
FIN_WAIT2：另一边已同意释放
ITMED_WAIT：等待所有分组死掉
CLOSING：两边同时尝试关闭
TIME_WAIT：另一边已初始化一个释放
LAST_ACK：等待所有分组死掉
另外很多人会用到TCP SYN Flood透过网路底层对服务器Server进行攻击的，我可以用Iptables防范下：

防止同步包洪水（Sync Flood）
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT

防止各种端口扫描

iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT

附上一篇转载文章：

Linux防止syn flood攻击，屏蔽 SYN_RECV 的连接

2009年02月9日 — admin

今web服务器一直都有syn flood攻击。查阅了Google后方得到一些有效资料

#####################################

抵御SYN SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。

Linux内核提供了若干SYN相关的配置，用命令： sysctl -a | grep syn 看到：

net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie 功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN 的重试次数。　　加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能可以阻止部分 SYN攻击，降低重试次数也有一定效果。
调整上述设置的方法是：

增加SYN队列长度到2048：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

打开SYN COOKIE功能：

sysctl -w net.ipv4.tcp_syncookies=1

降低重试次数：
sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3
为了系统重启动时保持上述配置，可将上述命令加入到/etc/rc.d/rc.local文件中。

防止同步包洪水（Sync Flood）
# iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
也有人写作
#/sbin/iptables -A INPUT -p tcp –syn -m limit –limit 1/s -j ACCEPT
–limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改
防止各种端口扫描
# /sbin/iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）
#/sbin/ iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
屏蔽 SYN_RECV 的连接
#/sbin/iptables -A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m limit –limit 1/sec -j ACCEPT

禁止某IP访问

iptables -I INPUT -s xxx.xxx.xxx.xx -j DROP

保存配置
#/etc/rc.d/init.d/iptables save

查看 iptables配置

/etc/init.d/iptables status

重启iptables

/etc/init.d/iptables restart

购买须知为了避免给您带来不必要的困扰，请务必仔细看下面的说明：

1. 本源码没有任何后门，也不会和我们服务器有任何通信，请您放心使用。
2. 本源码一次性买断，没有二次费用，并享受免费更新。
3. 为了使我们的产品能长久稳定发展，请不要使用我们的产品从事违反中华人民共和国法律、违反公序良俗的活动，否则我们有权拒绝服务，并配合有关单位予以处置。如果您不符合条件，请勿购买。
4. 售后是指通过 Telegram 与客服联系处理问题，售后过期不影响您对主题的使用和更新。免费三个月售后服务。售后服务时间为工作日早9点到晚5点。如果不在线可以 Telegram 留言，我们会尽快给您答复。
5. 售后服务包括程序的使用、BUG 的处理、意见建议等。不包括技术服务、网站优化、二次开发、环境配置、服务器运维等。
6. 代码类商品属于数字化商品，具有可复制性，不支持退款，详见《网络交易管理办法》第二章第16条第三类。
7. 购买前请仔细阅读我们的用户协议与免责声明： 用户协议 OR 免责声明。

© 版权声明文章版权归作者所有，未经允许请勿转载。本站资源均来自互联网，仅供研究学习，禁止违法使用和商用，产生法律纠纷本站概不负责！如有侵犯您的权益请与我们联系！

1. 欢迎您使用飞猪资源网（以下简称“本站”）。在您使用本站各项服务之前，请仔细阅读本《免责声明》。
2. 凡以任何方式登陆、浏览本站内容或直接、间接使用本站内容者，视为同意本站《免责声明》。
3. 本站提供的程序源码没有附带任何运营数据，只保证程序功能合法性、完整性。购买后对程序添加数据属于个人行为，与本站和开发者无关。
4. 本站不给涉黄、涉黑、涉赌、涉毒、涉电信诈骗等任何涉嫌违法活动站点提供任何技术帮助，如发现源码被用于非法站点，本站将列入售后黑名单，永不再提供任何服务。
5. 程序代码仅供学习用途，不得商用。违者导致的侵权、违法等后果需自行承担法律责任，本站和程序开发者不承担任何连带责任。
6. 未经本站允许不得将源码进行转售、分发等行为，请尊重作者劳动成果和版权，谢谢支持。
7. 本网页及演示站内容、图片、视频为模板演示数据，所有图片均来源于网络，版权归原作者所有。如有侵权，请联系我们书面反馈，核实后将立即删除。
8. 本站有权根据实际需要修改本协议，服务条款的解释权与修改权归本站所有。

THE END