1.介绍
SYN Flood是当今最风靡的DoS（拒绝服务攻击进攻）与DDoS（分布式系统拒绝服务攻击进攻）的方法之一，它是一种履行TCP协议书缺点，推送很多仿冒的TCP紧邻要求，常见假冒的IP或IP号码段发过来大量的要求紧邻的第一个握手包（SYN包），被攻击网站答复第二个握手包（SYN ACK包），因为另一方是假冒IP，另一方始终不能收到包且不容易答复第三个握手包。造成 被攻击网站维持很多SYN_RECV情况的“半紧邻”，并且会再试默认设置5次答复第二个握手包，装满TCP等候紧邻队伍，資源耗光（CPU超负荷或内存不够），让一切正常的运营要求紧邻不进去。

详尽的基本原理，在网上有很多推荐，解决设备也很多，但绝大多数没有什么实际效果，这儿推荐我们都是怎祥确诊和解决的。

2. 确诊
大家见到运营曲线图暴跌时，查验机械设备和DNS，发觉仅仅对外开放的web机回应慢、CPU负荷高、ssh成功慢乃至一些机械设备成功不了，查验系统软件syslog：

复制代码编码以下:
# tail -f /var/log/messages
Apr 18 11:21:56 web5 kernel: possible SYN flooding on port 80. Sending cookies.

查验紧邻数增加，并且SYN_RECV 紧邻新奇多：

复制代码编码以下:
# netstat -n | awk '/tcp/ { S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT
CLOSE_WAIT 21
SYN_SENT 99
FIN_WAIT1
FIN_WAIT2
ESTABLISHED
SYN_RECV
CLOSING 3
LAST_ACK

凭证简历，一切正常时查验紧邻数以下：

复制代码编码以下:
# netstat -n | awk '/tcp/ { S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT
CLOSE_WAIT 1
SYN_SENT 4
FIN_WAIT1
FIN_WAIT2 33
ESTABLISHED
SYN_RECV
CLOSING 6
LAST_ACK

之上便是TCPudp攻击的几大特点。实行netstat -nagt;特定文档，保存罪行。

3.提升Linux阻挡SYNudp攻击
假如在Linux网络服务器下遭到SYNudp攻击,能够举办以下一些设定:

复制代码编码以下:
#减少SYN- Timeout時间：
iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT
#每秒钟 数最多3个 syn wpe封包 进到 表述为 ：
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT
#设定syncookies：
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=
sysctl -w net.ipv4.tcp_synack_retries=0
sysctl -w net.ipv4.tcp_syn_retries=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
#避免 PING：
sysctl -w net.ipv4.icmp_echo_ignore_all=1
#阻挡详尽IP局限性：
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j Drop