今天我一直在处理一个看起来像SYN泛滥攻击的服务器.让网站重新上线有点急,所以我们做了这三个步骤,使服务恢复到可用状态.攻击期间服务器负载很低,因此它没有关闭服务器,只是超时了HTTP访问者.
现在我不相信这些解决了这个问题,但他们肯定解决了这些症状,直到洪水消退.
>设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 5
>增加Apache prefork
ServerLimit和MaxClient为512(从256).
>将Apache ListenBackLog设置为1024
我在Web上的其他地方看到了各种iptables –limit选项,但我们得出结论,这些会限制合法流量,因为所请求的网页的每个项目(每个图像等)都会计入此限制,从而阻止页面完全加载.
人们在这些情况下做了什么,并且我们的行动明智,因为负载不是问题?
解决方法
由于我不是iptables的专家,我通常会让两个防火墙中的一个为我处理这个问题.在防御SYN攻击时,APF和
CSF都是很好的防火墙,以及人们可以攻击你的服务器的众多其他方式.
我不知道您的具体配置,但我在“通用”cPanel / DirectAdmin / Plesk服务器上使用了所有防火墙以及一些使用自定义服务的防火墙,一旦您允许正确的端口,它就可以正常工作.
另外,您可能希望打开SYN Cookies,这有助于缓解SYN打开的攻击.以上两个脚本都有此选项.