本文介绍了如何在Linux系统中诊断SYN Flood攻击,包括使用curl检查连接超时、sar命令分析网络状况、tcpdump抓包、netstat查看TCP连接状态以及统计SYN_RECV连接数量。针对攻击,提出了防火墙策略限制、调整TCP参数如最大SYN backlog和SYN重试次数,以及启用TCP SYN Cookies等缓解措施。
1、看现象,例如访问连接超时
# --connect-timeout表示连接超时时间
# -w 设置完成后输出的格式
$ curl -w 'Http code: %{http_code}\nTotal time:%{time_total}s\n' -o /dev/null --connect-timeout 10 http://192.168.0.30
...
Http code: 000
Total time:10.001s
curl: (28) Connection timed out after 10000 milliseconds2、检查网络状况
# -n 网络统计
# DEV 网卡 1(代表第一个网卡)
$ sar -n DEV 1
08:55:49 IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s %ifutil
08:55:50 docker0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
08:55:50 eth0 22274.00 629.00 1174.64 37.78 0.00 0.00 0.00 0.02
08:55:50 lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.003、利用tcpdump抓包
# -i eth0 只抓取eth0网卡,-n不解析协议名和主机名
# tcp port 80表示只抓取tcp协议并且端口号为
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
