详细介绍Linux网络部分优化策略方法

关于 SYN_RECV 的杂七杂八的东西

Posted by kreny at September 8, 2004 10:38 PM | Trackback URL: http://weblog.dalouis.com/cgi-bin/mt-tb.cgi/147

网页在翻页到一个特定的页面的时候，和服务器80端口的连接被中止。

查看了netstat -anlp 发现有类似以下的记录，而IP就是我的。

tcp 0 2560 61.152.251.68:80 60.26.156.241:1523 SYN_RECV -

由于可能是程序的问题，因为仅仅在浏览这张网页的时候会出现这个问题，但是还是在netstat里面偶尔会看到几个 SYN_RECV ,所以就google了一下，在此总结一下。

1.对于大量的 SYN_RECV

若怀疑是SYN Flood攻击，有以下建议:

这个攻击的解决方法如下：

1，增加未完成连接队列（q0)的最大长度。

echo 1280>;/proc/sys/net/ipv4/tcp_max_syn_backlog

2, 启动SYN_cookie。

echo 1>;/proc/sys/net/ipv4/tcp_syncookies

这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓） 治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中,如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

关于 syn cookies， 请参阅 <>; http://cr.yp.to/syncookies.html,也许使用mod_limitipconn.c来限制apache的并发数 也会有一定的帮助。最终，仅仅修改了这个参数，但是也加上了iptables的防火墙规则，问题解决。

2.什麼是 TCP SYN Flood 攻擊

TCP SYN Flood是一種常見，而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式，它透過一定的操作破壞TCP三次握手建立正常連接，佔用並耗費系統資源，使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的，它可以在任意改變自己的網路IP地址的同時，不被網路上的其他設備所識別，這樣就給防範網路犯罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中，這種攻擊屢見不鮮。在一個拍賣網站上，曾經有犯罪分子利用這種手段，在低價位時阻止其他用戶繼續對商品拍賣，干擾拍賣過程的正常運作。

系統檢查

一般情況下，可以一些簡單步驟進行檢查，來判斷系統是否正在遭受TCP SYN Flood攻擊。

1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。

2、透過 netstat -an 命令檢查系統，發現有大量的SYN_RECV連接狀態。

3. iptables的设置，引用自CU

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也有人写作

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

附：

Iptables 指南 1.1.19

防火墙例子：

在Linux上使用iptables命令，建立一个个人防火墙

参阅：

proc文件系统面面谈

http://www.linuxaid.com.cn 02-01-16 21:34 5467p ideal

----------------------------------------------------------------------

什么是proc文件系统

proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件系统是动态从系统内核读出所需信息并提交的。它的目录结构如下：

目录名称 目录内容

apm 高级电源管理信息

cmdline 内核命令行

Cpuinfo 关于Cpu信息

Devices 可以用到的设备（块设备/字符设备）

Dma 使用的DMA通道

Filesystems 支持的文件系统

Interrupts 中断的使用

Ioports I/O端口的使用

Kcore 内核核心印象

Kmsg 内核消息

Ksyms 内核符号表

Loadavg 负载均衡

Locks 内核锁

Meminfo 内存信息

Misc 杂项

Modules 加载模块列表

Mounts 加载的文件系统

Partitions 系统识别的分区表

Rtc 实时时钟

Slabinfo Slab池信息

Stat 全面统计状态表

Swaps 对换空间的利用情况

Version 内核版本

Uptime 系统正常运行时间

并不是所有这些目录在你的系统中都有，这取决于你的内核配置和装载的模块。另外，在/proc下还有三个很重要的目录：net，scsi和sys。Sys目录是可写的，可以通过它来访问或修改内核的参数（见下一部分），而net和scsi则依赖于内核配置。例如，如果系统不支持scsi，则scsi目录不存在。

除了以上介绍的这些，还有的是一些以数字命名的目录，它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下，以进程的PID号为目录名，它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口，是一个link。Proc文件系统的名字就是由之而起。进程目录的结构如下：

目录名称 目录内容

Cmdline 命令行参数

Environ 环境变量值

Fd 一个包含所有文件描述符的目录

Mem 进程的内存被利用情况

Stat 进程状态

Status 进程当前状态，以可读的方式显示出来

Cwd 当前工作目录的链接

Exe 指向该进程的执行命令文件

Maps 内存映象

Statm 进程内存状态信息

Root 链接此进程的root目录

用户如果要查看系统信息，可以用cat命令。例如：

# cat /proc/interrupts   
CPU0   
0: 8728810 XT-PIC timer   
1: 895 XT-PIC keyboard   
2: 0 XT-PIC cascade   
3: 531695 XT-PIC aha152x   
4: 2014133 XT-PIC serial   
5: 44401 XT-PIC pcnet_cs   
8: 2 XT-PIC rtc   
11: 8 XT-PIC i82365   
12: 182918 XT-PIC Mouse   
13: 1 XT-PIC fpu PS/2   
14: 1232265 XT-PIC ide0   
15: 7 XT-PIC ide1   
NMI: 0

用户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录：/proc/sys。它不仅提供了内核信息，而且可以通过它修改内核参数，来优化你的系统。但是你必须很小心，因为可能会造成系统崩溃。最好是先找一台无关紧要的机子，调试成功后再应用到你的系统上。

要改变内核的参数，只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子：

# cat /proc/sys/fs/file-max   
4096   
# echo 8192 >; /proc/sys/fs/file-max   
# cat /proc/sys/fs/file-max   
8192

如果你优化了参数，则可以把它们写成添加到文件rc.local中，使它在系统启动时自动完成修改。

/proc文件系统中网络参数