2024.12.23 又被攻击了

上次被攻击后 我就去腾讯云的防火墙和系统里 都关闭了进站udp 实测一点用都没有 还是能打进来
不过这次你不知道我的源站早就迁移了吗 就算国内线路被你打进黑洞 我的cloudflare线路也能正常介入
但因为上海腾讯云没被你打进黑洞 所以国内线路全部由上海腾讯云接管了
我就纳闷了 按理说你不应该只打我香港和广东啊 看了日志才知道 只有上海开启了限制空连接
其中攻击我的IP
103.247.23.181
102.50.248.123
203.144.144.147
141.98.10.137
141.98.10.132
以上IP全被拉黑了30分钟 日志里说是什么SYN Flood攻击 我赶紧问了下GPT这啥玩意?结果才知道你可以不通过任何访问请求 直接给我发送空数据包 耗光我的资源 直接触发大厂的黑洞机制 直接关小黑屋一天 可是你不知道我早就把博客源站迁移走了吗?今天晚上博客完全没崩

不过因为每个月免费的100g清洗流量用完了 这次被打直接就进黑洞了 腾讯云把服务器卖给我 确实辛苦了 感谢腾讯云!

而且阴差阳错 就上海那条线路开启了ddos防护 我才知道这玩意真的管用啊?至少没被你打进黑洞?
等明天黑洞那两服务器我也开启 你再来打我一下试试行不行?正如我一开始所说 对于攻击别人 我兴趣不大 所以我是真不懂你用的啥黑科技来打我的网站 这次网站都没被你打崩 是不是感觉很失落?没事的 至少我再次回应你了不是?至少你再次帮我排查了问题点不是?

我已经开启了另外两台的空连接限制速率 下次你再来打我看看是更简单还是更困难 你光给我做压测 不给我反馈 不听我指挥 我很难受啊 有啥问题 发邮件给我行吗?[email protected]

我三台国内服务器 就算天天进黑洞也没关系的啊 本来带宽就小 不指望他们能给我带来啥质的飞跃 但确实让我在没被打的时候 网站打开速度快了一点点 因为延迟低嘛 我大一点的静态文件要么缓存到了cdn 要么还是放在大水管服务器的

GPT的介绍

SYN Flood 攻击是一种常见的 DDoS 攻击,通过发送大量伪造的 TCP SYN 数据包耗尽服务器的资源,从而导致服务不可用。要抵御这种攻击,可以从以下几个方面入手:

一、系统级防护

1. 使用 SYN Cookie

  • 启用 TCP SYN Cookie 来应对大量未完成的 TCP 连接:

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  • 原理
    SYN Cookie 在 SYN/ACK 响应中嵌入了连接状态信息,从而不需要在服务器端维护大量的半开连接。

2. 减少 SYN-ACK 重传次数

  • 修改内核参数,减少资源浪费:

    echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
  • 默认值是 5,改为 2 可以减少攻击时服务器重试次数。

3. 降低 TCP 半连接超时

  • 缩短半连接的等待时间:

    echo 60 > /proc/sys/net/ipv4/tcp_abort_on_overflow

    将半开连接的超时时间减少到 60 秒,防止资源长时间被占用。

4. 增加半连接队列长度

  • 增加 TCP 半连接队列容量,以应对更多的连接请求:

    echo 4096 > /proc/sys/net/ipv4/tcp_max_syn_backlog
  • 默认值可能较低,可以适当调整以适应你的服务器性能。

二、网络级防护

1. 使用防火墙规则

  • 限制 SYN 连接速率
    使用 iptables 或类似工具限制每个 IP 的连接速率:

    iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

  • 丢弃无效的包
    过滤掉可能的伪造或无效的 SYN 包:

    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

2. 使用 DDoS 防护设备

  • 配置专业硬件设备如 Anti-DDoS 网关、IDS/IPS 系统,可以实时检测和防护 SYN Flood 攻击。

3. 调整路由策略

  • 利用上游 ISP 的流量过滤功能,例如:

    • 通过 BGP 引流到高防服务。
    • 设置黑洞路由丢弃大量无效流量。

三、应用层防护

1. 使用负载均衡

  • 部署负载均衡器(如 Nginx、HAProxy 或专用硬件设备)来分担流量,并对异常流量进行检测和丢弃。

2. 启用连接限速

  • 对每个客户端的连接数量和速率进行限制:

    • Nginx 示例:

      limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 10;

3. 启用防护模块

  • 部署 Web 应用防火墙(如 ModSecurity)或专用的 DDoS 防护软件(如 Cloudflare)。

四、云服务防护

1. 使用高防服务

  • 将流量引流至具有高防能力的云服务提供商,例如:

    • 阿里云高防 IP
    • 腾讯云 DDoS 防护
    • AWS Shield
    • Cloudflare

2. 配置 CDN

  • 利用 CDN 服务隐藏真实 IP,同时分散攻击流量。

五、日志和监控

  • 启用实时监控
    使用工具监控 SYN 包的异常流量情况:

    • netstat -an | grep SYN_RECV 查看 SYN 状态的连接数。
    • ss -s 显示系统当前的 TCP 状态。
  • 记录日志
    配置日志分析工具(如 ELK)分析攻击来源。

实践配置建议

以下是一个综合性配置脚本示例:

# 启用 SYN Cookie
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# 增加半连接队列长度
echo 4096 > /proc/sys/net/ipv4/tcp_max_syn_backlog

# 缩短连接超时
echo 60 > /proc/sys/net/ipv4/tcp_abort_on_overflow

# 限制每秒连接速率
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

通过上述多层防护措施,可以有效缓解 SYN Flood 攻击对系统的影响。

最后修改:2024 年 12 月 23 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏