1.簡介
SYN Flood是當前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，常用假冒的IP或IP號段發(fā)來海量的請求連接的第一個握手包（SYN包），被攻擊服務(wù)器回應(yīng)第二個握手包（SYN+ACK包），因為對方是假冒IP，對方永遠收不到包且不會回應(yīng)第三個握手包。導(dǎo)致被攻擊服務(wù)器保持大量SYN_RECV狀態(tài)的“半連接”，并且會重試默認5次回應(yīng)第二個握手包，塞滿TCP等待連接隊列，資源耗盡（CPU滿負荷或內(nèi)存不足），讓正常的業(yè)務(wù)請求連接不進來。

詳細的原理，網(wǎng)上有很多介紹，應(yīng)對辦法也很多，但大部分沒什么效果，這里介紹我們是如何診斷和應(yīng)對的。

2. 診斷
我們看到業(yè)務(wù)曲線大跌時，檢查機器和DNS，發(fā)現(xiàn)只是對外的web機響應(yīng)慢、CPU負載高、ssh登陸慢甚至有些機器登陸不上，檢查系統(tǒng)syslog：

根據(jù)經(jīng)驗，正常時檢查連接數(shù)如下：

3.優(yōu)化Linux阻擋SYN洪水攻擊
如果在Linux服務(wù)器下遭受SYN洪水攻擊,可以進行如下一些設(shè)置:

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。