测试kangle syn 80端口ddos防护清洗能力 如何进行有效的防御拦截此类攻击 连接详情看到的UNSET是什么意思

小樱

测试机器为阿里云上海区1M，云盾DDOS拉倒10M 2000清洗。

syn 80端口测试，3311连接详情会发现大量的UNSET连接。
syn 22端口测试，当前ssh没断开，无法再次新建其它窗口ssh，秒被断。


这条命令是查询系统上有多少syn连接到测试发包服务器，在iftop上面是看不到syn流量监控占用的。

1. netstat -apn | grep 45.32.70.164

复制代码

毕竟syn攻击流量不大，一般就5M不到宽带（能有大流量的都是大佬集群了），连阿里云云盾DDOS防护都触发不了清洗，都拉到最低值了，但是会引起大量连接数，系统拥堵，看到有ESTABLISHED和FIN_WAIT2与SYN_RECV的大量状态。

论用4M SYN流量几乎打瘫痪一台阿里云高配置高性能的服务器。





当你在3311看到有UNSET的时候，那就代表你正在被syn攻击。








来说说防护理论吧，已经syn是网络层的东西，kangle肯定防护不了，毕竟kangle是应用层，可以试试安全狗这些网络层的东西。

然后，kangle防御的话，其实可以用匹配连接数模块，列入黑名单模块对接系统iptables防火墙来拉黑IP，这样就不会有什么问题了，拉黑后也不会在3311显示了。

顺便一说，这个默认kangle检测到unset就是屏蔽的，无法访问到的，不会拉黑IP，默认阻断访问，但是这些流量已经进机器了，肯定占用CPU和网络资源，还是得硬防才好使，目前市面上没见到能识别数据包做防御的软防

硬防一般是识别这个syn流量是不是正常的数据包，如果是就通过，非法就直接拦截在墙上，例如unset就是非法的http syn流量，硬防可以针对80端口，分析是否http协议，不是则禁止进机器，很好识别的，不过国内假防护多，，一般主要一些也就是抗UDP

注意：收回上面的话，只是理论，实测ip_rate模块检测不到syn，per_ip也不行←v←软防只能用安全狗了。


实测安全狗可以防护syn
拦截后，状态全部变成FIN_WAIT1，成功拦截，此时查看系统防火墙，已经被列入黑名单了，这时，我们已经成功拦截了syn，在3311也恢复正常。

1. iptables -L -n --line-numbers

复制代码

2018年3月5日 21:46:36
补充，kangle3.5.12.14新版开始可以使用per_ip_deny 匹配每IP最大连接数配合防火墙来对接丢入黑名单
前提kangle已经设置了对接防火墙功能


配置文件例如

1.         <connect max_per_ip='200' max='1000000' per_ip_deny='1'/>

复制代码

安全狗的作用还是不大，因为它没办法识别syn攻击
只能根据ip访问频率去防护，可以做到缓解的效果
安全狗就是拉起iptables
安全狗驱动层负责检测攻击状态，检测到后提交到iptables进行防护
拉黑后，返回响应FIN_WAIT1，就是防护成功了
此时攻击流量不会到web应用层中
在系统底层就防护拦截了
比如说单个攻击ip大流量打syn就可以防护
一旦是几万台鸡一起打，安全狗这些防护就0效果
市面上没有能检测识别到syn的软防，只要能识别就能防御解决，不能识别就无法解决
特征syn没有网址信息的，不会存在header和url，ddos syn，一碰就死
CC很好防的就怕这syn
最好的方法，还是写Linux sh脚本，检测系统syn等攻击
让机房硬防开api权限，脚本把攻击者ip提交到硬防拉黑防护
卖服务器的可以在服务器中内置脚本自动化
目前我没见到有效的防御软件，硬防就别说了，，全球几百家机房，没见有几家机房能抗SYN
无视CC非常简单，完美防御0误封，就怕syn，很多机房吹防syn。。。试过N多没一家能防
syn打的就是连接数，几万连接数到80端口打死web，syn，，被打基本只能认命
脚本检测意义不大，，因为你只能根据频率容易误封
最好还是写驱动去识别syn的内容流量看syn包里面是什么内容
比如说80端口syn防护，先看syn包里面有没有header，没有的话直接拉黑
针对每个端口写特定的策略防护

syn具体有什么特征？
最顶部就说了，例如，syn 22端口测试，当前ssh没断开，无法再次新建其它窗口ssh，秒被断。
syn会导致你的端口堵塞导致响应缓慢甚至无法访问，syn只对端口有效
基本不吃你宽带啥的，就堵着你端口
syn也有洪水攻击，发大包，形成流量攻击，此时会打下行宽带
因为99%的所有机房硬件防火墙，都不会拦截syn攻击，但是会封锁udp，udp流量打不进机器，用syn就可以，syn大包流量超过服务器网卡承受处理上限，服务器就会被流量打死
很多机房说防护syn的，其实都是吹牛逼
因为市面上根本见不到什么syn，也没办法反射，没办法用代理ip，只能用鸡才能打出来
syn不像CC，可以用大量的代理ip去攻击，所以市面上的syn还是不多的。。
遇到了只能说倒霉认命等对方攻击结束停止

国外知名商家cf cdn也有介绍syn
https://www.cloudflare.com/zh-cn/learning/ddos/syn-flood-ddos-attack/

樱酱的魔王

所以樱酱吃了火锅还要做签名

hhmx

安全狗只能拦一些小量的，而且不用开安全狗的cc防火墙，默认ddos就可以阻挡半连接，可惜大量不行，其实这个叫三次握手的半连接攻击，伪造ip，每个ip给一个半连接就耗尽服务器资源，这就是慢连接，tcp耗尽攻击，我没防住的就是这个，
现在已经防住了，解决方法是上硬防做策略，上负载均衡分摊压力，调低kangle超时等待，调整phpcgi自动回收时间到最短。
如果没有条件上硬防，百度cdn也挡不住慢连接的情况下，只能自己分析日志，然后拉黑ip了。分析日志的事情小樱有兴趣吗？我们讨论下

hhmx

小樱论坛晚上还有人cc吗

小樱

hhmx 发表于 2017/6/9 11:07
小樱论坛晚上还有人cc吗

没，自己测试而已

小樱

hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的，而且不用开安全狗的cc防火墙，默认ddos就可以阻挡半连接，可惜大量不行，其实这个 ...

没啊，只要不是syn很好识别防护的。

小樱

hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的，而且不用开安全狗的cc防火墙，默认ddos就可以阻挡半连接，可惜大量不行，其实这个 ...

而且，ip是无法伪造的。除非一些机房上层出口路由策略。

小樱

而且这不是半连接啊，半连接状态不是这样的工作状态。

hhmx

小樱 发表于 2017/6/9 18:36
而且这不是半连接啊，半连接状态不是这样的工作状态。

你打过去，安全狗提示的就是半连接，你试试呢？

hhmx

小樱 发表于 2017/6/9 18:32
而且，ip是无法伪造的。除非一些机房上层出口路由策略。

ip是能伪造的，不过得在同一个局域网，arp欺骗伪造

小樱

hhmx 发表于 2017/6/9 21:08
ip是能伪造的，不过得在同一个局域网，arp欺骗伪造

局域网可能么←

hhmx

难到你讲的不是这个？



TCP洪水攻击（SYN Flood）的诊断和处理  此博文包含图片        (2015-02-09 13:22:35)转载▼
标签： it        分类： 网络知识
1. SYN Flood介绍

前段时间网站被攻击多次，其中最猛烈的就是TCP洪水攻击，即SYN Flood。

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

详细的原理，网上有很多介绍，应对办法也很多，但大部分没什么效果，这里介绍我们是如何诊断和应对的。

小樱

hhmx 发表于 2017/6/10 16:26
难到你讲的不是这个？

不是这个，而且ack也无法伪造IP啊。

shenmengxi1220

“前提kangle已经设置了对接防火墙功能”  请问这个怎么设置对接防火墙？

小樱

shenmengxi1220 发表于 2020/2/1 22:57
“前提kangle已经设置了对接防火墙功能”  请问这个怎么设置对接防火墙？

直接用驱动层的软防吧

shenmengxi1220

小樱 发表于 2020/2/1 23:56
直接用驱动层的软防吧

你说的是直接用安全狗就行了吗？

小樱

shenmengxi1220 发表于 2020/2/2 13:10
你说的是直接用安全狗就行了吗？

嗯，是

uddd

这里怎么说，意思是https://bbs.itzmx.com/forum.php?mod=viewthread&tid=9270&pid=406286&page=1&extra=#pid406286
这个帖子里的办法防不住syn吗，

那下边这里呢，
https://bbs.itzmx.com/forum.php?mod=viewthread&tid=9269&page=1#pid406565
这个帖子里的办法对SYN有用吗

小樱

uddd 发表于 2020/8/12 23:31
这里怎么说，意思是https://bbs.itzmx.com/forum.php?mod=viewthread&tid=9270&pid=406286&page=1&extra=#p ...

syn是网络层攻击，不属于应用层，应用层无法做防御，可以使用安全狗等网络层的防御软件，在网络层进行拦截攻击，
你标红处说明的也是，kangle只要对接了黑明了拉起系统中防火墙使用iptables系统底层防火墙可以实现syn防御