由于最近在看《linux企业案例精解第二版》的书,里面的很多作者亲身经历的事故总结给了我很多学习的一手资料,我认为很受用,特此来分享一下笔记
首先介绍一下DDOS
DDOS分类:1.容量耗尽攻击,这种攻击企图耗尽转发或链接容量 2.状态表耗尽攻击,这种攻击企图耗尽基础设施和服务器里面的状态表 3.应用层攻击,这种方法企图耗尽应用成层资源
DDOS原理:DDOS是DOS攻击的加强版,基本的DOS是通过操纵单台攻击机连接服务器,利用TCP三次握手原理,发出大量合理但非正常的请求来占用过多的服务器资源,从而导致服务器无法为其他用户提供正常服务。而DDOS攻击之前在网络上收集足够多的"肉鸡"作为攻击机,能力强的甚至可以在已经控制的一级"肉鸡"中扩大更多有漏洞的机器,具有多级主从关系的攻击链,一旦发起攻击,所有可利用的攻击机器会同时对目标服务展开进攻,攻击规模大,破坏力强
TCP三次握手过程:
第一次握手:建立连接时,客户端发送SYN包(seq=x)到服务器,并进入SYN-SEND状态,等待服务器确认
第二次握手:服务器收到SYN包后,必须确认客户的SYN(ACK=x+1),同时发送一个SYN包(seq=y),即SYN+ACK包,此时服务器进入SYN-RECV状态
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包,ACK(ack=y+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态
在上述过程中有一些重要概念
未连接队列:在三次握手协议中,服务器维护着一个未连接队列。该队列为每个客户端的SYN包(seq=y)开设一个条目,条目表名服务器已经收到SYN包,并向客户发布确认,等待客户的确认包,这些条目所表示的链接是在服务器处于SYN-RECV状态时,当服务器收到客户的确认包时删除这些条目,服务器进入ESTABLISHED状态
Backlog参数,表示未连接队列的最大容纳数据
SYN+ACK 重传次数。服务器发送完SYN+ACK包后,如果未收到客户确认包,则服务器进行首次重传,再过一段时间后仍未收到客户确认包,则进行第二次重传。如果重传次数超过系统规定的最大重传次数时,则系统将该连接信息从半连接队列中删除。注意每次重传等待的时间不一定相同
半连接存活时间。指定半连接队列条目存活的最长时间,即服务从收到SYN包到确认这个报文无效的最长时间,该时间值时所有重传请求包的最长等待时间总和,有时也成为半连接存活时间为Timeout时间或者SYN-RECV存活时间
TCP-SYN Flood又称为半开式连接攻击。攻击者会利用一些特殊工具制造大量的非法数据包,把原地址伪装成为一个实际不存在的地址,因此当服务方收到请求方的SYN包并回送SYN+ACK确认消息后,请求放由于原地址欺骗等手段,致使服务方根本得不到ACK回应
事实上请求方除了立即响应SYN+ACK消息外,也可能因为正在处理数据而暂时无法响应服务端消息,这是正常的,所以在设计中考虑让服务器持续一段时间保留SYN+ACK信息片断,等待接收方ACK消息是很有必要的。但是一台服务器的TCP连接是有线的,如果恶意攻击利用此快速、连续发送此类连接请求,则服务器可用的TCP链接很快会被阻塞,系统可用资源、网络可用宽带急剧下降,这就是TCP-SYN Flood攻击原理
防范DDOS攻击
1.通过合理配置系统 2加固TCP/IP协议栈 3通过防火墙
SYN Cookies技术:用于限制同时打开的半连接数。 echo 1>/proc/sys/net/ipv4/tcp_syncookies
增加最大半连接数:默认为256,sysctl -W net.ipv4.tcp_max_syn_backlog='2048'
缩短SYN半连接的Timeout时间:sysctl -W net.ipv4.tcp_syn_retries='0'
下面是用shell脚本实现防止恶意连接:
#!/bin/bash MAX_TOTAL_SYN_RECV=1000 MAX_PER_IP_SYN_RECV=20 MARK='SYN_RECV' #定义链接状态为"SYN_RECV" PORT=80 LOGFILE="/var/log/netstat_${MARK}-$PORT" LOGFILE_IP="/var/log/netstat_connect_ip.log" DROP_IP_LOG="/var/log/netstat_syn_drop_ip.log" #iptables初始化,拒绝非法包和不明状态包,允许请求包和已连接的包进入 iptables -F -t filter iptables -A -INPUT -p TCP -m state --state NEW -j DROP iptables -A -INPUT -p ALL -m state --state INVALID -j DROP iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT #初始化变量 if [ -z ${MARK} ];then MARK="LISTEN" fi if [ -z $PORT ];then SPORT='tcp' else SPORT=":$PORT" fi #end #保存netstat结果到指定记录文件中便于分析 netstat -autn |grep $MARK |grep $SPORT 2>/dev/null >$LOGFILE if [ -s ${DROP_IP_LOG ];then for i in `less ${DROP_IP_LOG} |awk '{print $1}'` do /sbin/iptables -A INPUT -p ALL -s $i -j DROP done fi for i in `less ${LOGFILE_IP}` #统计同一IP的SYN-RECV状态 do REPEAT_CONNECT_NUM =`grep $i $LOGFILE|wc -l` #如果超过预设的统一IP连接数,则拒绝此IP连接包进入 if [ $REPEAT_CONNECT_NUM -gt ${MAX_RER_IP_SYN_RECV ];then echo "$I $REPEAT_CONNECT_NUM" >>${DROP_IP_LOG} iptables -A INPUT -p ALL -s $i -j DROP fi done #统计所有状态为SYN_RECV的数据包,如果超过预设则重置状态 ALL_CONNECT=`uniq -u $LOGFILE|wc -l` echo $ALL_CONNECT if [ $ALL_CONNECT -gt $MAX_TOTAL_SYN_RECV ];then echo $ALL_CONNECT exit 1 fi
下面内容是转载 http://blog.csdn.net/shaobingj126/article/details/8549494
简介
提高服务器性能有很多方法,比如划分图片服务器,主从数据库服务器,和网站服务器在服务器。但是硬件资源额定有限的情况下,最大
的压榨服务器的性能,提高服务器的并发处理能力,是很多运维技术人员思考的问题。要提高 Linux 系统下的负载能力,可以使用 nginx 等
原生并发处理能力就很强的 web 服务器,如果使用 Apache 的可以启用其 Worker 模式,来提高其并发处理能力。除此之外,在考虑节省成
本的情况下,可以修改 Linux 的内核相关 TCP 参数,来最大的提高服务器性能。当然,最基础的提高负载问题,还是升级服务器硬件了,这
是最根本的。
TIME_WAIT
Linux 系统下, TCP 连接断开后,会以 TIME_WAIT 状态保留一定的时间,然后才会释放端口。当并发请求过多的时候,就会产生大量的
TIME_WAIT 状态的连接,无法及时断开的话,会占用大量的端口资源和服务器资源。这个时候我们可以优化 TCP 的内核参数,来及时将
TIME_WAIT 状态的端口清理掉
文介绍的方法只对拥有大量 TIME_WAIT 状态的连接导致系统资源消耗有效,如果不是这种情况下,效果可能不明显。可以使用 netstat 命
令去查 TIME_WAIT 状态的连接状态,输入下面的组合命令,查看当前 TCP 连接的状态和对应的连接数量
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
这个命令会输出类似下面的结果:
LAST_ACK 16
SYN_RECV 348
ESTABLISHED 70
FIN_WAIT1 229
FIN_WAIT2 30
CLOSING 33
TIME_WAIT 18098
我们只用关心 TIME_WAIT 的个数,在这里可以看到,有 18000 多个 TIME_WAIT ,这样就占用了 18000 多个端口。要知道端口的数量只有
65535 个,占用一个少一个,会严重的影响到后继的新连接。这种情况下,我们就有必要调整下 Linux 的 TCP 内核参数,让系统更快的释放
TIME_WAIT 连接
用 vim 打开配置文件: #vim /etc/sysctl.conf
在这个文件中,加入下面的几行内容:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
输入下面的命令,让内核参数生效: #sysctl -p
简单的说明上面的参数的含义:
net.ipv4.tcp_syncookies = 1
# 表示开启 SYN Cookies 。当出现 SYN 等待队列溢出时,启用 cookies 来处理,可防范少量 SYN 攻击,默认为 0 ,表示关闭;
net.ipv4.tcp_tw_reuse = 1
# 表示开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接,默认为 0 ,表示关闭;
net.ipv4.tcp_tw_recycle = 1
# 表示开启 TCP 连接中 TIME-WAIT sockets 的快速回收,默认为 0 ,表示关闭;
net.ipv4.tcp_fin_timeout
# 修改系統默认的 TIMEOUT 时间。
在经过这样的调整之后,除了会进一步提升服务器的负载能力之外,还能够防御小流量程度的 DoS 、 CC 和 SYN 攻击。
此外,如果你的连接数本身就很多,我们可以再优化一下 TCP 的可使用端口范围,进一步提升服务器的并发能力。依然是往上面的参数文
件中,加入下面这些配置:
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
# 这几个参数,建议只在流量非常大的服务器上开启,会有显著的效果。一般的流量小的服务器上,没有必要去设置这几个参数。
net.ipv4.tcp_keepalive_time = 1200
# 表示当 keepalive 起用的时候, TCP 发送 keepalive 消息的频度。缺省是 2 小时,改为 20 分钟。
net.ipv4.ip_local_port_range = 10000 65000
# 表示用于向外连接的端口范围。缺省情况下很小: 32768 到 61000 ,改为 10000 到 65000 。(注意:这里不要将最低值设的太低,否则可
能会占用掉正常的端口!)
net.ipv4.tcp_max_syn_backlog = 8192
# 表示 SYN 队列的长度,默认为 1024 ,加大队列长度为 8192 ,可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_tw_buckets = 6000
# 表示系统同时保持 TIME_WAIT 的最大数量,如果超过这个数字, TIME_WAIT 将立刻被清除并打印警告信息。默 认为 180000 ,改为
6000 。对于 Apache 、 Nginx 等服务器,上几行的参数可以很好地减少 TIME_WAIT 套接字数量,但是对于 Squid ,效果却不大。此项参数可
以控制 TIME_WAIT 的最大数量,避免 Squid 服务器被大量的 TIME_WAIT 拖死。
内核其他 TCP 参数说明:
net.ipv4.tcp_max_syn_backlog = 65536
# 记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有 128M 内存的系统而言,缺省值是 1024 ,小内存的系统则是 128 。
net.core.netdev_max_backlog = 32768
# 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.core.somaxconn = 32768
#web 应用中 listen 函数的 backlog 默认会给我们内核参数的 net.core.somaxconn 限制到 128 ,而 nginx 定义的 NGX_LISTEN_BACKLOG 默认
为 511 ,所以有必要调整这个值。
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216 # 最大 socket 读 buffer, 可参考的优化值 :873200
net.core.wmem_max = 16777216 # 最大 socket 写 buffer, 可参考的优化值 :873200
net.ipv4.tcp_timestsmps = 0
# 时间戳可以避免序列号的卷绕。一个 1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种 “ 异常 ” 的数据包。这里需要
将其关掉。
net.ipv4.tcp_synack_retries = 2
# 为了打开对端的连接,内核需要发送一个 SYN 并附带一个回应前面一个 SYN 的 ACK 。也就是所谓三次握手中的第二次握手。这个设置决
定了内核放弃连接之前发送 SYN+ACK 包的数量。
net.ipv4.tcp_syn_retries = 2
# 在内核放弃建立连接之前发送 SYN 包的数量。
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
# 开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接。
net.ipv4.tcp_wmem = 8192 436600 873200
# TCP 写 buffer, 可参考的优化值 : 8192 436600 873200
net.ipv4.tcp_rmem = 32768 436600 873200
# TCP 读 buffer, 可参考的优化值 : 32768 436600 873200
net.ipv4.tcp_mem = 94500000 91500000 92700000
# 同样有 3 个值 , 意思是 :
net.ipv4.tcp_mem[0]: 低于此值, TCP 没有内存压力。
net.ipv4.tcp_mem[1]: 在此值下,进入内存压力阶段。
net.ipv4.tcp_mem[2]: 高于此值, TCP 拒绝分配 socket 。
上述内存单位是页,而不是字节。可参考的优化值是 :786432 1048576 1572864
net.ipv4.tcp_max_orphans = 3276800
# 系统中最多有多少个 TCP 套接字不被关联到任何一个用户文件句柄上。
如果超过这个数字,连接将即刻被复位并打印出警告信息。
这个限制仅仅是为了防止简单的 DoS 攻击,不能过分依靠它或者人为地减小这个值,
更应该增加这个值 ( 如果增加了内存之后 ) 。
net.ipv4.tcp_fin_timeout = 30
# 如果套接字由本端要求关闭,这个参数决定了它保持在 FIN-WAIT-2 状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省
值是 60 秒。 2.2 内核的通常值是 180 秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的 WEB 服务器,也有因为大量的死
套接字而内存溢出的风险, FIN- WAIT-2 的危险性比 FIN-WAIT-1 要小,因为它最多只能吃掉 1.5K 内存,但是它们的生存期长些。
经过这样的优化配置之后,你的服务器的 TCP 并发处理能力会显著提高。以上配置仅供参考,用于生产环境请根据自己的实际情况