linux检测及防止DDOS攻击的技巧_电脑知识

当前位置：测速网 > 电脑知识 > 发布时间：2025-06-07 13:26 文章来源于网友投稿，仅供参考！

linux检测及防止DDOS攻击的技巧

身为一个网站的站长，不仅要保证网站的流量提升，还要预防DDOS攻击，那么在Linux系统下要如何检测DDOS攻击呢？又该如何防止DDOS攻击呢？这都是一门学问。

1、利用netstat 工具来检测查看SYN连接

netstat -n -p -t

Active Internet connections （w/o servers）

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 192.168.0.200:5050 192.168.0.38:48892 TIME_WAIT -

tcp 0 0 192.168.0.200:5050 192.168.0.38:36604 TIME_WAIT -

tcp 0 0 192.168.0.200:5050 192.168.0.38:52988 TIME_WAIT -

tcp 0 0 192.168.0.200:5050 192.168.0.38:38911 TIME_WAIT -

tcp 0 0 192.168.0.200:5050 192.168.0.38:58623 TIME_WAIT -

tcp 0 0 192.168.0.200:43690 192.168.0.200:61616 ESTABLISHED 10415/java

当然我上面的都是正常连接。当然TIME_WAIT如果占比过多，肯定也是不正常的。（要么受到了攻击，要么需要参数调优。）

而受到DDOS恶意攻击的情况下会在系统中看到的，很多连接处于SYN_RECV状态（在WINDOWS系统中是SYN_RECEIVED状态）源IP地址都是随机的，表明这是一种带有IP欺骗的SYN攻击。

tcp 0 10.11.11.11:23 124.173.152.8:25882 SYN_RECV-

tcp 0 10.11.11.11:23 236.15.133.204:2577 SYN_RECV-

tcp 0 10.11.11.11:23 127.160.6.129:51748 SYN_RECV-

具体主机的端口状态有以下几种：

CLOSED：无连接是活动的或正在进行

LISTEN：服务器在等待进入呼叫

SYN_RECV：一个连接请求已经到达，等待确认

SYN_SENT：应用已经开始，打开一个连接

ESTABLISHED：正常数据传输状态

FIN_WAIT1：应用说它已经完成

FIN_WAIT2：另一边已同意释放

ITMED_WAIT：等待所有分组死掉

CLOSING：两边同时尝试关闭

TIME_WAIT：另一边已初始化一个释放

LAST_ACK：等待所有分组死掉

稍微更详细的说明可以看下百度百科上对ESTABLISHED状态的解释及延伸。

具体SYN_RECV状态的统计比较多，我这里介绍两种脚本的写法：

netstat -an | awk ‘/^tcp/ {++S［$NF］} END {for（a in S） print a， S［a］}’

上面的脚本会列出所有状态的连接数。

netstat -n -p -t | grep SYN_RECV | grep ：80 | wc -l

当然，上面80是特指web站点受到DDOS攻击。

2、LINUX下DDOS SYN攻击的防范

防范也主要从两方面入手，一是sysctl的自身的关于syn方面的配置，二是防火墙策略上。

sysctl -w net.ipv4.tcp_syncookies=1 # tcp syncookie，默认关闭

sysctl -w net.ipv4.tcp_max_syn_backlog=1280 # syn队列，默认1024，》 1280可能工作不稳定，需要修改内核源码参数

sysctl -w net.ipv4.tcp_synack_retries=2 # syn-ack握手状态重试次数，默认5，遭受syn-flood攻击时改为1或2

sysctl -w net.ipv4.tcp_syn_retries=2 # 外向syn握手重试次数，默认4

以上四处是网上经常提到的几个地方，当然还有未提到的也可以通过下列命令查看。

［root@web3 nginx］# sysctl -a|grep syn

net.ipv4filter.ip_conntrack_tcp_timeout_syn_recv = 60

net.ipv4filter.ip_conntrack_tcp_timeout_syn_sent = 120

net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5

fs.quota.syncs = 25

如未受到攻击，上面的参数不建议修改。据说有增加主机的不稳定性的风险。

上一篇：Linux ssh连接时提示The authenticity of如何去除?

下一篇：CentOS挂载Glusterfs失败如何办？

怎么防止ddos攻击 linuxddos攻击 ddos攻击检测

webacc.exe是什么文件？webacc.exe是不是病毒 WINSYS.vbs是什么文件？WINSYS.vbs是不是病毒 winssh.exe是什么文件？winssh.exe是不是病毒 wt.exe是什么文件？wt.exe是不是病毒 winsysetm.exe是什么文件？winsysetm.exe是不是病毒 winstrve.exe是什么文件？winstrve.exe是不是病毒 winsysupd7.exe是什么文件？winsysupd7.exe是不是病毒 winsysupd.exe是什么文件？winsysupd.exe是不是病毒 winsysupd2.exe是什么文件？winsysupd2.exe是不是病毒 winsysupd8.exe是什么文件？winsysupd8.exe是不是病毒