如何停止SYN_SENT？

Question

運行netstat即使重新啓動服務器後也顯示數百條此行 - 它會再次開始發送，從而導致與該IP的許多連接。

tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 
tcp  0  1 server1700.skdedicate:36283 154.45.206.59:https SYN_SENT 

我停止了所有的腳本，但仍然繼續嘗試。

我知道這意味着IP沒有迴應SYN_SENT但我該如何阻止這些SYN_SENT？或者什麼是最好的解決方案？

謝謝。

Answer 1

這個問題似乎越來越多的意見，但沒有答案，所以我決定回答自己的問題尋找解決方案的任何人。

首先，知道原因是解決方案的一半。我在所謂的SYN氾濫攻擊下使用HTTP協議行爲對自身

它的缺點是，遠程客戶端嘗試通過發送SYN建立與您的服務器的連接，您的服務器回覆SYN_ACK（在您的日誌中你將看到SYN_SENT）並等待，直到收到ACK。如果在xx秒內未收到ACK，您的服務器將再次發送SYN_ACK，......並再次發送....並再次發送。它最終將達到配置的閾值，並停止接受任何更多的SYN請求，從而使服務器無響應。發生在我身上的一個症狀是，我的網站一度沒有錯，但在接下來的xx時間內沒有迴應。

這工作對我來說是啓用SYN餅乾，SSH到服務器，用你喜歡的編輯器打開以下文件的解決方案。我在本例中使用vi

vi /etc/sysctl.conf 

並將這些行添加到文件中，然後重新啓動服務器。希望這會阻止攻擊，因爲它爲我做的

net.ipv4.tcp_syncookies = 1 
net.ipv4.tcp_max_syn_backlog = 2048 
net.ipv4.tcp_synack_retries = 3 

我使用CentOS的，我認爲，上述方案將在所有發行工作，但如果它沒有搜索「如何停止SYN Flooding攻擊」爲您的Linux發行

在一個側面說明，阻斷IP地址發起的SYN請求可能沒有幫助，因爲很有可能是攻擊者僞造的IP地址