防范DDoS 攻击

　　到目前为止，针对分布式拒绝服务攻击（DDoS）的防御依然没有特别直接有效的方法，因为这种攻击会利用TCP/IP 协议的漏洞。除非您完全不使用TCP/IP，才有可能抵御DDoS 攻击。

　　但面对DDoS，我们也不能因此而“逆来顺受”， 还是应该考虑其他办法进行必要的防范。

　　几乎所有的主机平台都有抵御DDoS 的设置。以Linux 操作系统为例，其防范技术主要分为3 大类：第一类是通过合理配置系统，达到资源最优化和利用最大化；第二类是通过加固TCP/IP 协议栈来防范DDoS ；第三类是通过防火墙、路由器等过滤网关，有效地探测攻击类型并阻击攻击。

　　必须明确的是，DDoS 攻击在TCP 连接原理上是合法的，除非TCP 协议重新设计，明确定义DDoS 和其他正常请求有何不同，否则不可能完全阻止DDoS 的攻击，我们所做的只是尽可能地减轻DDoS 攻击所带来的危害。

　　1. 服务器设置

　　除了防范他人攻击外，也要提防不要成为被人利用的对象。可以通过以下方法来实现：

　　（1）安全配置系统，杜绝攻击漏洞，及时安装系统补丁程序。

　　（2）关闭不必要的服务，并优化服务。

　　（3）有规律地查看日志。

　　（4）利用相关工具检查文件完整性。

　　2、加固TCP ／ IP 协议栈

　　这里通过修改TCP ／ IP 参数来控制连接资源的利用。

　　（1）SYN Cookies 技术

　　限制同时打开的SYN半连接数。以RedHat Linux 为例，通过在启动环境中设置以下命令来启用SYN Cookies ：

　　#echo 1> /proc/sys/net/ipv4/tcp_

　　syncookies

　　也可以通过修改其他参数， 或者使用/proc/sys/net/ipv4/netfilter/ip_contrack_* 来实现。

　　（2）增加最大半连接数

　　加大未连接队列空间。Linux 使用变量tcp-max-syn_backlog 来定义backlog 队列容纳的最大半连接数。在RedHat Linux 中，该变量的默认值为256，在RHEL AS Linux中则是1024。该数值是远远不够的，一次强度不大的SYN 攻击就能使半连接队列占满。通过以下命令可以修改此变量值：

　　#sysctl -W net.ipv4.tcp_max_syn_

　　backlog=“2048”

　　（3）缩短SYN 半连接的Timeout 时间

　　RedHat Linux 使用变量tcP_synack_retries 定义重传次数，其默认值是5，总超时时间需要3 分钟。

　　#sysctl -W net.ipv4.tcp_ synack_

　　retries=“0”

　　（4）及时更新系统补丁

　　可以添加如下脚本到Linux 的/etc/sysctl.conf 文件，重启后会自动启动，达到防御DDoS 的效果。

　　## add by geminis for syn crack

　　net.ipv4.tcp_syncookied=1

　　net.ipv4.tcp_max_syn_backlog=“2048”

　　net.ipv4.tcp_synack_ retries=“1”

　　3. 防火墙防御

　　在网关超时设置处，将防火墙SYN 转发超时参数设置为小于服务器的Timeout。如果客户端在防火墙的Timeout时间内无响应，防火墙将发送终止RST 消息给服务器，使服务器从队列中删除该半连接，节省开销。

　　需要注意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响，正常的通信，设置过大则会影响防范SYN drome 攻击的效果，必须根据所处的网络环境来设置参数。

　　（1）SYN 网关：SYN 网关的原理是代替客户端发送ACK 消息，然后转发数据。SYN 网关收到服务器的SYN/ACK 包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK 确认包。此时，服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。一般服务器所能承受的连接数量比半连接数量要大得多，所以这种方法能有效地减轻对服务器的攻击。