80端口可能出现SYN洪水。送饼干

Question

我最近有一个服务器停机。我到处都找过了，我在日志文件中唯一找到的就是：

Feb 17 18:58:04 localhost kernel: possible SYN flooding on port 80. Sending cookies.
Feb 17 18:59:33 localhost kernel: possible SYN flooding on port 80. Sending cookies.

谁能给我更多关于这件事的信息。WHat就是它，我如何调试原因和如何修复相同的原因。我还发布了天涯突然变得太大了，这是我发现的另一个不寻常的数据点，我想知道这两件事是否是连接在一起的，因为它们同时发生在不同的服务器上。一个在反向代理，另一个在实际后端清漆服务器上)

谢谢

Answer 1

Syn洪水是攻击，在大多数情况下，攻击者伪造精心编制的数据包的源地址，试图建立与服务器的连接(本例中为端口80 )。

如果攻击者快速生成大量这样的包，他就会耗尽连接池，从而阻止合法用户连接到主机。

是一种用于更好地处理受攻击情况的方法，由于它有一些虚假的负面信息，在Syn洪水攻击下，许多用户都可以访问您的服务(web)。

Answer 2

这是一种称为系统洪水攻击的基本DDOS攻击。基本上，攻击者使用僵尸网络在您的计算机上半开TCP连接，愿意打开连接表。您可以使用iptable来防止这种情况，甚至可以使用防火墙(如CSF )进行保护，其中包括内置的这些规则。我写了关于这个这里的文章，现在推荐ConfigServer防火墙 (CSF)，它内置了这些保护。

如果你对这类袭击有什么特别的问题，请告诉我。

Answer 3

这是一个您可以快速使用的iptables规则

iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP