Linux 高级应用    >> 系统和网络安全 此话题阅读次数: 6387 平坦模式  树状模式

打印

alaska (stranger) 03-05-30 22:13 APACHE攻击，请问，如何解决？我需要帮助！！！   本人遇到如下情况（系统：REDHAT7.1 & APACHE apache-1.3.27-1.7.1 & phpphp-4.1.2-7.1.6）： 只要一开启apache，用netstat -an命令察看，就会发现有大量的“ SYN_RECV”连接，以至于网也无法打开。具体信息如下： tcp 0 0 61.172.255.110:80 218.6.243.56:33499 SYN_RECV tcp 0 0 61.172.255.110:80 61.139.245.133:1195 SYN_RECV tcp 0 0 61.172.255.110:80 218.62.69.71:1160 SYN_RECV tcp 0 0 61.172.255.110:80 61.50.205.200:65423 SYN_RECV tcp 0 0 61.172.255.110:80 139.133.7.38:34858 SYN_RECV tcp 0 0 61.172.255.110:80 202.106.23.14:1305 SYN_RECV tcp 0 0 61.172.255.110:80 61.240.33.233:1208 SYN_RECV tcp 0 0 61.172.255.110:80 162.105.214.51:1940 SYN_RECV tcp 0 0 61.172.255.110:80 211.94.181.107:1428 SYN_RECV tcp 0 0 61.172.255.110:80 218.71.121.61:3101 SYN_RECV tcp 0 0 61.172.255.110:80 211.95.143.238:1076 SYN_RECV tcp 0 0 61.172.255.110:80 218.76.20.247:2437 SYN_RECV tcp 0 0 61.172.255.110:80 202.106.23.14:1306 SYN_RECV 我怀疑是SYN Flood攻击。请问各位大虾，有何防范方法？是不是APACHE有漏洞？我是用netstat察看，没有发现任何可疑端口。也未发现可疑程序。 文章选项： zhu1230 (newbie) 03-05-31 18:57 Re: APACHE攻击，请问，如何解决？我需要帮助！！！ [re: alaska]   这不足以算攻击。属于正常的情况 -------------------- LINUX新手 文章选项： maxen (enthusiast) 03-06-06 01:13 庸医！！ [re: zhu1230]   你不说别人当你是知道的 ..... -------------------- 就当我什么都没说。 文章选项： teawater (old hand) 03-06-06 10:09 Re: 庸医！！ [re: maxen]   那好 请这位懂的大侠给大家介绍一下 :) -------------------- 坚决打倒M$以及其走狗SCO近期的无耻行为！！！ 文章选项： solaris7 (old hand) 03-06-06 14:33 Re: APACHE攻击，请问，如何解决？我需要帮助！！！ [re: alaska]   有多少个？用grep,wc 组合看一下。 -------------------- i am not bound to please three with my answers 文章选项： maxen (enthusiast) 03-06-09 10:41 Re: 庸医！！ [re: teawater]   客气地可以，大侠俺也不是，不过俺做过这样的测试；现象与提起线索相同；如果说不是攻击，那也有可能，就是全世界很多人打开页面，而且tcp三次握手过程中就把连接断开了； 这是TCP SYN-flood攻击；方法就是用raw-socket, 向目标发起请求，但源地址被改成假地址了，这样是很难防范的，不过可以用iptables记一下log; 由于tcp是有连接状态的，你不打开端口他就自然无法攻击； 攻击程序源代码在本版其他线索里偶交过了；可以拿回去测试测试自己的局域网； -------------------- 就当我什么都没说。 文章选项： zysno1 (member) 03-06-09 11:17 Re: APACHE攻击，请问，如何解决？我需要帮助！！！ [re: alaska]   这个攻击的解决方法如下： 1，增加未完成连接队列（q0)的最大长度。 echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog 2, 启动SYN_cookie。 echo 1>/proc/sys/net/ipv4/tcp_syn_cookies 这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓） 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。呵呵。 我知道的就这么多了。 呵呵。 文章选项： lfh_77 (member) 04-08-15 01:05 Re: APACHE攻击，请问，如何解决？我需要帮助！！！ [re: alaska]   我也受到同样的攻击，可是没有解决办法！ 文章选项： changxing (member) 04-09-05 01:42 Re: APACHE攻击，请问，如何解决？我需要帮助！！！ [re: zysno1]   这些调整对于7，80M带宽的攻击都是徒劳的，从经验来看，现在很少有很专业的攻击行为，很多攻击数据包都有规律可循，我见过的有，源端口统统是80的，seq=0的，类似这种包头含有异常内容的，就比较好封了。另外就是ip在一个c/b/a类里的，到了这时候，我认为与其所有人都不能访问，干脆就让一个段里的人访问不了算了，封他一个大类。如果他再厉害一点，完全没有规律，就只有举手投降了............ -------------------- Thank you! 8-) 文章选项：

打印

平坦模式  树状模式

前往讨论区 *Linux 社区和文化* -----   社区公告栏   社区服务台   业界新闻与评论   爱心版   Linux软件快递   翻译作坊   Linux图书与评论   招聘和求职*Linux 桌面与办公自动化* -----   GNU Emacs/XEmacs   Linux 中文环境和中文化   Linux桌面与办公软件   Linux 多媒体与娱乐版   自由之窗Mozilla    笔记本电脑上的Linux*Linux 入门及网络应用* -----   Gentoo    Debian 一族   网络管理技术   Linux 安装与入门   WEB服务器和FTP服务器   域名服务器和邮件服务器   Linux防火墙和代理服务器应用   文件及打印服务器    技术培训与认证*Linux 高级应用* -----   TI专版   Linux内核技术   Linux 嵌入技术   Linux设备驱动程序    Linux 集群技术   LINUX平台数据库   系统和网络安全   CPU 与 编译器   系统计算研究所专栏*Linux 环境下的程序设计* -----   Linux下的GUI软件开发   C/C++编程版   PHP 技 术   Java&jsp技术   Shell编程技术   Perl 编 程   Python 编 程   XML/Web Service 技术*永远的 UNIX* -----   永远的Unix   FreeBSD世界

Contact Us LINUXFORUM.NET