用户名: 密码: 忘记密码? 注册

有关linux的防ddos

作者:  时间: 2010-09-08
netstat -an | grep -i "服务器ip地址:80" | awk '{print $6}' | sort | uniq -c | sort -n
     这个命令会自动统计Tcp连接各个状态的数量,如果SYN_RECV很高的话,就不能排除有基于tcp协议的ddos攻击的可能
 
查看Apache的并发请求数及其TCP连接状态:
  Linux命令:
引用
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
  (这条语句是从 新浪互动社区事业部 新浪互动社区事业部技术总监王老大那儿获得的,非常不错)
  返回结果示例:
  LAST_ACK 5
  SYN_RECV 30
  ESTABLISHED 1597
  FIN_WAIT1 51
  FIN_WAIT2 504
  TIME_WAIT 1057
  其中的SYN_RECV表示正在等待处理的请求数;ESTABLISHED表示正常数据传输状态;TIME_WAIT表示处理完毕,等待超时结束的请求数。
  关于TCP状态的变迁,可以从下图形象地看出:
    
  状态:描述
  CLOSED:无连接是活动的或正在进行
  LISTEN:服务器在等待进入呼叫
  SYN_RECV:一个连接请求已经到达,等待确认
  SYN_SENT:应用已经开始,打开一个连接
  ESTABLISHED:正常数据传输状态
  FIN_WAIT1:应用说它已经完成
  FIN_WAIT2:另一边已同意释放
  ITMED_WAIT:等待所有分组死掉
  CLOSING:两边同时尝试关闭
  TIME_WAIT:另一边已初始化一个释放
  LAST_ACK:等待所有分组死掉

     这样的话,你需要打开tcp_syncookies 
     echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
     如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持syncookies,需要重新编译内核
     同时降低syn重试次数
     echo "1" >; /proc/sys/net/ipv4/tcp_syn_retries
     echo "1" >; /proc/sys/net/ipv4/tcp_synack_retries
     加大syn_backlog,以保证用户的访问(消耗内存为代价,设的太高。。)
     echo "2048" >; /proc/sys/net/ipv4/tcp_max_syn_backlog
     如果还是不行,那么只能交给相应的硬件防火墙了