如何解决SYN泛洪问题?

guiyun affiliate

方式一:

【Linux系统: 修改sysctl内核参数提高SYN数据包的处理能力】

1. 开启SYN Cookies,当出现SYN等待队列溢出时,启用cookies来处理
net.ipv4.tcp_syncookies = 1
2. 增加SYN Backlog队列长度
net.ipv4.tcp_max_syn_backlog = 65535
3. iptables限制SYN频率,每秒钟只允许每个源IP发起2个SYN数据包,超出则丢弃
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp -m limit –limit 2/s –limit-burst 50 -j RETURN
iptables -A syn-flood -j DROP

方式二: 

购买专业的DDoS云清洗和云防御服务 (适用于SYN Flood攻击流量较大,强度较高的场景)

购买专业的DDoS云清洗服务之前可以咨询一下服务商采用的SYN Flood防御算法和模式,这个非常重要,SYN    Flood防御算法和模式对于不同业务产生的影响是完全不同的。错误的SYN Flood防御算法和模式虽然可以防御SYN Flood攻击,但是也会导致业务无法正常访问。

常见的SYN Flood防御算法有:

SYN Cookies
SYN Proxy
SYN Reset
SYN SafeGuard


guiyun affiliate

作者头像
南宫俊逸创始人

君子好学,自强不息~

上一篇:SS、SSH、SSL、VPN分别是?
下一篇:Linux 内核优化----sysctl

相关推荐

4

发表评论