Linux服务器下对SYN洪水攻击的诊断和阻挡

    1.简介SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。
    详细的原理，网上有很多介绍，应对办法也很多，但大部分没什么效果，这里介绍我们是如何诊断和应对的。
    2. 诊断我们看到业务曲线大跌时，检查机器和DNS，发现只是对外的web机响应慢、CPU负载高、ssh登陆慢甚至有些机器登陆不上，检查系统syslog：
    复制代码
    代码如下:
    # tail -f /var/log/messages
    Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.
    检查连接数增多，并且SYN_RECV 连接特别多：
    复制代码
    代码如下:
    # netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
    TIME_WAIT 16855
    CLOSE_WAIT 21
    SYN_SENT 99
    FIN_WAIT1 229
    FIN_WAIT2 113
    ESTABLISHED 8358
    SYN_RECV 48965
    CLOSING 3
    LAST_ACK 313
    根据经验，正常时检查连接数如下：
    复制代码
    代码如下:
    # netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
    TIME_WAIT 42349
    CLOSE_WAIT 1
    SYN_SENT 4
    FIN_WAIT1 298
    FIN_WAIT2 33
    ESTABLISHED 12775
    SYN_RECV 259
    CLOSING 6
    LAST_ACK 432