洪水攻擊特徵

1. 系統日誌web

tail -f /var/log/messages
Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.cookie

2.檢查鏈接數 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' tcp

TIME_WAIT 16855
CLOSE_WAIT 21
SYN_SENT 99
FIN_WAIT1 229
FIN_WAIT2 113
ESTABLISHED 8358
SYN_RECV 48965
CLOSING 3
LAST_ACK 313spa

正常 SYN_RECV 259日誌

若是沒有以上特徵 業務流量好高ip

解決辦法cookies

net.ipv4.tcp_synack_retries = 0awk

net.ipv4.tcp_max_syn_backlog = 655350(注意該值要小於net.core.somaxconn)di

net.core.somaxconn = 655350co

相關文章
相關標籤/搜索