SYNPROXY:最廉价的抗DoS攻击方案

标签: 系统安全 ddos防御 | 发表时间:2014-03-26 11:11 | 作者:lanlan
出处:http://www.freebuf.com

对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案。虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了。作为一个学术型人才,我倾向于使用简单廉价的组合来解决问题—x86+GNU/Linux。在linux 3.13内核中加入了SYNPROXY这个功能,它的实现基于netfilter framework 和 connection tracking 模块。

我猜测,他会把来自客户端的初始SYN包标记成UNTRACKED然后直接导入iptables的"SYNPROXY"的动作(类似ACCEPT,NFQUEUE和DROP),这时内核会扮演网关设备的角色继续跟客户端进行TCP的常规握手流程,SYNPROXY会等到最终的ACK(三次握手)的cookie被验证合法后才会开始让包真正的进入目标端。

Jesper Dangaard Brouer曾给我我一份上个月DEVCON的 报告,根据里面的内容,我和同事也做了实验,结果还不错。

下面是测试结果,大家随意感受一下

平台: Debian, SLES-12-beta2
硬件: Laptop, Server, 100Mbps Switch
工具: hping3, metasploit
root@d6-test:/home/shawn# iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 8888 --syn -j NOTRACK
root@d6-test:/home/shawn# iptables -A INPUT -i eth0 -p tcp --dport 8888 -m state --state UNTRACKED,INVALID -j SYNPROXY --sack-perm --timestamp --mss 1480 --wscale 7 --ecn
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
结果:
不使用 SYNPROXY: ksoftirq is around 8%-9%
使用 SYNPROXY: ksoftirq is less than 3%

[本文由FreeBuf小编蓝蓝进行采编与翻译]

相关 [synproxy dos 攻击] 推荐:

SYNPROXY:廉价的抗DoS攻击方案

- - 博客园_新闻
DoS 攻击是一个永恒的问题,虽然专业厂商的防火墙,负载均衡类的网关设备能比较有效的防御 DoS 攻击,但黑客们更倾向于 x86+GNU/Linux 的组合,原因很简单:足够的廉价.

SYNPROXY:最廉价的抗DoS攻击方案

- - FreeBuf.COM
对于防御Dos攻击来说,我这辈子都不一定能见到完美的解决方案. 虽然,有成吨的商用防火墙,可以有效的防御Dos攻击,但是他们都太贵了. 作为一个学术型人才,我倾向于使用简单廉价的组合来解决问题—x86+GNU/Linux. 在linux 3.13内核中加入了SYNPROXY这个功能,它的实现基于netfilter framework 和 connection tracking 模块.

HTTP DoS 攻击工具 Slowhttptest

- Le - 开源中国社区最新软件
Slowhttptest是一个依赖于实际HTTP协议的Slow HTTP DoS 攻击工具,它的设计原理是要求服务器所有请求被完全接收后再进行处理.

研究人员发布SSL-DOS攻击工具

- 軒轅無雙 - Solidot
研究人员发布了一个攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线,新的方法被称为SSL拒绝服务攻击(SSL DOS). 德国黑客组织“The Hacker’s Choice”发布了THC SSL DOS,利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一攻击的电脑.

研究人员发布SSL-DoS攻击工具

- dunqiu - cnBeta.COM
感谢MontBlancs的投递. 研究人员发布了一个攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线,新的方法被称为SSL拒绝服务攻击(SSL DOS). 德国黑客组织“The Hacker’s Choice”发布了THC SSL DOS, 利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一攻击的电脑.

DOS拒绝式服务攻击原理浅析

- - CSDN博客综合推荐文章
作者:zhanhailiang 日期:2014-10-26. TCP协议是一种可靠的连接,为了保证连接的可靠性,TCP的连接要分为几个步骤. 我们把这个连接过程称为“三次握手”. 下面我们从一个实例来分析建立连接的过程. 第一步客户端向服务器发送一个TCP数据包,表示请求建立连接. 为此,客户端将数据包的SYN位设置为1,并且设置序列号seq=1000(假设为1000).

DOS攻击可能的原因和分析与预防

- - CSDN博客推荐文章
关于安全的三个最核心的元素CIA,也就是:. Confidentiality(保密性):信息只能被授权的人查阅. Integrity(完整性):信息没有被意外地修改. Availability(有效性):信息或者资源在需要的时候,总是可以使用的. 不同的产品对有效性的要求是不一样的,有的要求三个9,有的要求4个9.

DOS的历史

- andi - 阮一峰的网络日志
昨日(7月27日),微软公司的DOS操作系统迎来了30岁生日. DOS是历史上一个划时代的产品,标识着PC(个人电脑)的崛起和普及,对计算机行业影响深远. 只有了解DOS的历史,才能理解今天的计算机工业从何而来. 1974年4月,Intel推出8位芯片8080. 这块芯片的体积和性能,已经能够满足开发微型电脑的需要,标志微机时代即将来临.

Hash Collision DoS 问题

- mazhechao - 酷壳 - CoolShell.cn
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是 Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比. 这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的CPU升到100%).

DOS命令管理

- - CSDN博客推荐文章
DOS远程桌面连接命令 mstsc /v: 192.168.1.250 /console. cmd          运行        command. 删除文件        rd        文件名/S. 创建文件        MD        文件名 . 1.        net user admin godmour /add 新建一个用户名为 admin 密码为 godmour 默认为user组成员.