日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

防dos攻擊的主要方法 多角度查看和緩解DoS攻擊辦法( 三 )

云知道


ss -lnt[root@localhost ~]# ss -lntStateRecv-QSend-QLocal Address:PortPeer Address:PortProcessLISTEN01280.0.0.0:1110.0.0.0:*LISTEN01280.0.0.0:800.0.0.0:*在Listen中其中Send-Q 為全連接隊(duì)列的長度,Recv-Q為目前使用了多少 。全連接隊(duì)列的大小= min(backlog, somaxconn) backlog為用戶設(shè)置的隊(duì)列長度,somaxconn同上,為系統(tǒng)參數(shù) 。
減少syn-ack重發(fā)次數(shù)服務(wù)器端收到SYN連接后會(huì)回復(fù)SYN+ACK,如果回復(fù)失敗會(huì)進(jìn)行多次重試,默認(rèn)5次,我們可以減少重試次數(shù):
[root@localhost ~]# sysctl net.ipv4.tcp_synack_retriesnet.ipv4.tcp_synack_retries = 5[root@localhost ~]# sysctl -w net.ipv4.tcp_synack_retries=1net.ipv4.tcp_synack_retries = 1[root@localhost ~]# sysctl net.ipv4.tcp_synack_retriesnet.ipv4.tcp_synack_retries = 1開啟SYN cookie對(duì)于半連接的隊(duì)列長度,設(shè)置多長合適那,不太好設(shè)置,我們可以打開SYN cookie,這樣在連接隊(duì)列滿了之后,會(huì)根據(jù)SYN的包計(jì)算一個(gè)cookie值,這個(gè)cookie作為將要返回的SYN ACK包的初始序列號(hào),服務(wù)器端不再保存任何信息,客戶回一個(gè)ACK包時(shí)候,根據(jù)包頭信息計(jì)算cookie值,在于返回的確認(rèn)序列號(hào)對(duì)比,如果相同,則是一個(gè)正常連接,如果不合法,則返回一個(gè)RST報(bào)文,這其中校驗(yàn)cookie是否合法時(shí)候,還要判斷ACK時(shí)間是否為4分鐘內(nèi)到達(dá),是才合法 。
缺點(diǎn)看起來好像cookie方式比較完美,但是由于不再服務(wù)器端保存任何信息,所以就無法重發(fā)SYN+ACK報(bào)文,由于有一定計(jì)算量,且如果對(duì)方采用ACK攻擊,那么服務(wù)器端需要計(jì)算比較,也無法預(yù)防的 。
[root@localhost ~]# sysctl -w net.ipv4.tcp_syncookies=1net.ipv4.tcp_syncookies = 1同樣,永久生效需要寫入到/etc/sysctl.conf中去 。
五 總結(jié)Dos攻擊,特別是DDos攻擊,采用的是發(fā)送大量包的方法來消耗服務(wù)器端的資源,上面的手段也只能減緩攻擊,不能徹底解決問題,業(yè)界對(duì)這種攻擊一般用流量清洗的辦法,將DDos攻擊的流量和正常用戶請(qǐng)求分離出來,或者增加CDN緩存,和WAF等方式 。
【防dos攻擊的主要方法 多角度查看和緩解DoS攻擊辦法】以上就是愛惜日網(wǎng)?防dos攻擊的主要方法(多角度查看和緩解DoS攻擊辦法)的相關(guān)內(nèi)容了,更多精彩請(qǐng)關(guān)注作者:愛惜日技術(shù)

推薦閱讀