试题2014-6含答案_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
试题2014-6含答案
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩7页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢SYN Flood攻击的检测_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
SYN Flood攻击的检测
&&网络攻击
阅读已结束，下载本文需要
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢以下试题来自：
单项选择题以下哪类网络攻击不属于DoS攻击（）。
A.IP Spoofing攻击
B.SYN Flood攻击
C.ICMP Flood攻击
D.Tear Drop攻击
为您推荐的考试题库
您可能感兴趣的试卷
你可能感兴趣的试题
A.email电子邮件
C.网上银行
D.FTP文件传输
A.一个报文的源地址和目的地址都是同一个IP地址，或源地址为环回地址；
B.一个TCP报文SYN和FIN标志位同时为1
C.一个报文的DF位为1，但MF位同时为0
D.一个ICMP报文的目的地址是广播地址或网络的地址
A.BRAS、WEB认证服务器
B.WEB认证服务器，BRAS
C.BRAS，客户端
D.WEB认证服务器、客户端
A.公开密钥密码系统
B.对称密钥密码系统
C.非对称密钥密码系统
D.解密系统博客分类：
1. SYN Flood介绍
前段时间网站被攻击多次，其中最猛烈的就是TCP洪水攻击，即SYN Flood。
SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP号段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。
详细的原理，网上有很多介绍，应对办法也很多，但大部分没什么效果，这里介绍我们是如何诊断和应对的。
我们看到业务曲线大跌时，检查机器和DNS，发现只是对外的web机响应慢、CPU负载高、ssh登陆慢甚至有些机器登陆不上，检查系统syslog：
# tail -f /var/log/messagesApr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.
检查连接数增多，并且SYN_RECV 连接特别多：# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' TIME_WAIT 16855CLOSE_WAIT 21SYN_SENT 99FIN_WAIT1 229FIN_WAIT2 113ESTABLISHED 8358SYN_RECV 48965CLOSING 3LAST_ACK 313
根据经验，正常时检查连接数如下：# netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' TIME_WAIT 42349CLOSE_WAIT 1SYN_SENT 4FIN_WAIT1 298FIN_WAIT2 33ESTABLISHED 12775SYN_RECV 259CLOSING 6LAST_ACK 432
以上就是TCP洪水攻击的两大特征。执行netstat -na&指定文件，保留罪证。
3. 应急处理
根据netstat查看到的对方IP特征：# netstat -na |grep SYN_RECV|more
利用iptables临时封掉最大嫌疑攻击的IP或IP号段，例如对方假冒173.*.*.*号段来攻击，短期禁用173.*.*.*这个大号段（要确认小心不要封掉自己的本地IP了！）# iptables -A INPUT -s
173.0.0.0/8
–dport 80 -j DROP
再分析刚才保留的罪证，分析业务，用iptables解封正常173.*.*.*号段内正常的ip和子网段。这样应急处理很容易误伤，甚至可能因为封错了导致ssh登陆不了服务器，并不是理想方式。
4. 使用F5挡攻击
应急处理毕竟太被动，因为本机房的F5比较空闲，运维利用F5来挡攻击，采用方式：让客户端先和F5三次握手，连接建立之后F5才转发到后端业务服务器。后来被攻击时F5上看到的现象：1. 连接数比平时多了500万，攻击停止后恢复。2. 修改F5上我们业务的VS模式后，F5的CPU消耗比平时多7%，攻击停止后恢复。3. 用F5挡效果明显，后来因攻击无效后，用户很少来攻击了，毕竟攻击也是有成本的。
5. 调整系统参数挡攻击
没有F5这种高级且昂贵的设备怎么办？我测试过以下参数组合能明显减小影响，准备以后不用F5抗攻击。
第一个参数tcp_synack_retries = 0是关键，表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，不进行重试，加快回收“半连接”，不要耗光资源。
不修改这个参数，模拟攻击，10秒后被攻击的80端口即无法服务，机器难以ssh登录； 用命令netstat -na |grep SYN_RECV检测“半连接”hold住180秒；
修改这个参数为0，再模拟攻击，持续10分钟后被攻击的80端口都可以服务，响应稍慢些而已，只是ssh有时也登录不上；检测“半连接”只hold住3秒即释放掉。
修改这个参数为0的副作用：网络状况很差时，如果对方没收到第二个握手包，可能连接服务器失败，但对于一般网站，用户刷新一次页面即可。这些可以在高峰期或网络状况不好时tcpdump抓包验证下。
根据以前的抓包经验，这种情况很少，但为了保险起见，可以只在被tcp洪水攻击时临时启用这个参数。
tcp_synack_retries默认为5，表示重发5次，每次等待30~40秒，即“半连接”默认hold住大约180秒。详细解释：
The tcp_synack_retries setting tells the kernel how many times to retransmit the SYN,ACK reply toan SYN request. In other words, this tells the system how many times to try to establish a passiveTCP connection that was started by another host.This variable takes an integer value, but should under no circumstances be larger than 255 for thesame reasons as for the tcp_syn_retries variable. Each retransmission will take aproximately 30-40seconds. The default value of the tcp_synack_retries variable is 5, and hence the default timeoutof passive TCP connections is aproximately 180 seconds.
之所以可以把tcp_synack_retries改为0，因为客户端还有tcp_syn_retries参数，默认是5，即使服务器端没有重发SYN+ACK包，客户端也会重发SYN握手包。详细解释：
The tcp_syn_retries variable tells the kernel how many times to try to retransmit the initial SYNpacket for an active TCP connection attempt.This variable takes an integer value, but should not be set higher than 255 since eachretransmission will consume huge amounts of time as well as some amounts of bandwidth. Eachconnection retransmission takes aproximately 30-40 seconds. The default setting is 5, whichwould lead to an aproximate of 180 seconds delay before the connection times out.
第二个参数net.ipv4.tcp_max_syn_backlog = 200000也重要，具体多少数值受限于内存。
以下配置，第一段参数是最重要的，第二段参数是辅助的，其余参数是其他作用的：# vi /etc/sysctl.conf
#最关键参数，默认为5，修改为0 表示不要重发
net.ipv4.tcp_synack_retries = 0
#半连接队列长度
net.ipv4.tcp_max_syn_backlog = 200000
#系统允许的文件句柄的最大数目，因为连接需要占用文件句柄
fs.file-max = 819200
#用来应对突发的大并发connect 请求
net.core.somaxconn = 65536
#最大的TCP 数据接收缓冲（字节）
net.core.rmem_max =
#最大的TCP 数据发送缓冲（字节）
net.core.wmem_max =
#网络设备接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 165536
#本机主动连接其他机器时的端口分配范围
net.ipv4.ip_local_port_range =
# ……省略其它……
使配置生效：# sysctl -p
注意，以下参数面对外网时，不要打开。因为副作用很明显，具体原因请google，如果已打开请显式改为0，然后执行sysctl -p关闭。因为经过试验，大量TIME_WAIT状态的连接对系统没太大影响：
#当出现 半连接 队列溢出时向对方发送syncookies，调大 半连接 队列后没必要
net.ipv4.tcp_syncookies = 0
#TIME_WAIT状态的连接重用功能
net.ipv4.tcp_tw_reuse = 0
#时间戳选项，与前面net.ipv4.tcp_tw_reuse参数配合
net.ipv4.tcp_timestamps = 0
#TIME_WAIT状态的连接回收功能
net.ipv4.tcp_tw_recycle = 0
为了处理大量连接，还需改大另一个参数：# vi /etc/security/limits.conf
在底下添加一行表示允许每个用户都最大可打开409600个文件句柄（包括连接）：*
浏览: 144197 次
二咻_win 写道TPS和响应时间的平均值怎么看呢？虚线就是平 ...
推荐一个开源的分析工具：开源工具pyNmonAnalyzer介 ...
无意间看到你的项目，很赞，利用一个周末的时间在你的基础上做了一 ...
TPS和响应时间的平均值怎么看呢？
jmetertool.tar.gz你写的这个在哪里下载？链接没 ...
(window.slotbydup=window.slotbydup || []).push({
id: '4773203',
container: s,
size: '200,200',
display: 'inlay-fix'SYN Flood攻击的防御性研究--《齐齐哈尔大学学报(自然科学版)》2015年01期
SYN Flood攻击的防御性研究
【摘要】：SYN Flood攻击是分布式拒绝服务攻击中流行的攻击方式之一。这种攻击主要是利用协议的漏洞,发送大量伪造的源IP地址的攻击报文,使目标系统资源耗尽。为了有效地防范SYN Flood的攻击,描述了几种防御SYN Flood攻击的措施,使合法用户正常访问网络资源。
【作者单位】：
【基金】：
【分类号】：TP393.08
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【参考文献】
中国期刊全文数据库
张永铮;肖军;云晓春;王风宇;;[J];软件学报;2012年08期
黄晗辉;陈蜀宇;石晶翔;;[J];计算机系统应用;2010年03期
【共引文献】
中国期刊全文数据库
崔阿军;张华峰;范迪龙;赵明忠;;[J];电力信息化;2013年03期
李江;张峰;付俊;杨光华;;[J];电信工程技术与标准化;2013年12期
臧运海;汤大权;;[J];电子设计工程;2014年09期
王秀利;;[J];华中科技大学学报(自然科学版);2012年S1期
张凤斌;孙刚;张斌;;[J];计算机应用研究;2014年01期
翟松青;;[J];科学中国人;2014年08期
黎忠文;吴成宾;许晓晨;;[J];计算机科学;2014年04期
陈栋;;[J];哈尔滨师范大学自然科学学报;2014年04期
陈栋;;[J];哈尔滨师范大学自然科学学报;2014年05期
江先亮;金光;杨建刚;何加铭;;[J];通信学报;2013年09期
中国重要会议论文全文数据库
喻强;于鹏飞;黄治;陈伟;任杰;;[A];2013年中国通信学会信息通信网络技术委员会年会论文集[C];2013年
喻强;于鹏飞;黄治;陈伟;任杰;;[A];中国通信学会信息通信网络技术委员会2013年年会论文集[C];2013年
中国博士学位论文全文数据库
宋礼鹏;[D];中北大学;2012年
陈世文;[D];解放军信息工程大学;2013年
王进;[D];电子科技大学;2013年
中国硕士学位论文全文数据库
唐锐;[D];中南大学;2012年
潘驰;[D];南京邮电大学;2013年
【二级参考文献】
中国期刊全文数据库
顾荣杰;晏蒲柳;邹涛;杨剑峰;;[J];计算机科学;2006年09期
庄肖斌,芦康俊,王理,卢建芝,李鸥;[J];计算机工程;2004年22期
肖军;云晓春;张永铮;;[J];计算机学报;2010年09期
沈清,金心宇,周绮敏;[J];计算机应用;2005年12期
罗华;胡光岷;姚兴苗;;[J];计算机应用;2007年02期
吴虎,刘云超,陈挺;[J];计算机应用研究;2002年08期
孙知信;唐益慰;张伟;宫婧;王汝传;;[J];软件学报;2006年02期
孙红杰;方滨兴;张宏莉;;[J];通信学报;2007年02期
【相似文献】
中国期刊全文数据库
钱雯;黄新乐;;[J];数码先锋;2008年07期
钱峰,张蕾;[J];福建电脑;2005年09期
吴华光,甘燕玲;[J];南方金属;2005年01期
张健;;[J];网络安全技术与应用;2007年08期
;[J];Aerospace C2007年03期
倪晓霞;刘嘉勇;吴少华;;[J];成都信息工程学院学报;2009年01期
丁海霞;;[J];电脑编程技巧与维护;2009年24期
曾小荟;冷明;刘冬生;李平;金士尧;;[J];计算机工程与科学;2011年04期
戴纪亮;;[J];电脑学习;2011年02期
陈浩;张俊瑞;;[J];舰船电子对抗;2011年02期
中国重要会议论文全文数据库
B;[A];第十四届中国海洋（岸）工程学术讨论会论文集（上册）[C];2009年
;[A];2009中国控制与决策会议论文集（3）[C];2009年
Li-min JYi-hui WYi-hong Li;;[A];Proceedings of the 4th International Conference on Engineering and Business Management[C];2013年
梁东方;林斌良;Roger A.F;[A];第三届全国水力学与水利信息学大会论文集[C];2007年
;[A];2009中国控制与决策会议论文集（3）[C];2009年
;[A];中国科学院地质与地球物理研究所2007学术论文汇编(第四卷)[C];2008年
;[A];Proceedings of 2010 Chinese Control and Decision Conference[C];2010年
;[A];第三届教学管理与课程建设学术会议论文集[C];2012年
Jinhui Jeanne H;[A];中国水利学会2010学术年会论文集（下册）[C];2010年
;[A];新世纪气象科技创新与大气科学发展——中国气象学会2003年年会“03.7淮河大水的水文气象学问题”分会论文集[C];2003年
中国重要报纸全文数据库
路遥;[N];中国计算机报;2008年
小新;[N];中国电脑教育报;2005年
秦钢;[N];计算机世界;2003年
曹悟尔;[N];中国计算机报;2005年
《网络世界》评测实验室
王珧;[N];网络世界;2005年
中国硕士学位论文全文数据库
李凯;[D];西南交通大学;2009年
徐赛;[D];哈尔滨工业大学;2013年
潘健;[D];大连海事大学;2012年
赖运娥;[D];华南理工大学;2011年
程劲;[D];电子科技大学;2003年
李盼盼;[D];大连海事大学;2010年
沈清;[D];浙江大学;2006年
胡海洋;[D];东北大学;2008年
唐锐;[D];中南大学;2012年
唐丹;[D];重庆大学;2006年
&快捷付款方式
&订购知网充值卡
400-819-9993}