目录：

• 1、Linux系统如何抵御TCP洪水攻击
• 2、Linux多久需要重启一次？长时间不重启会出现什么后果？
• 3、请简单描述SYN洪水攻击的原理？
• 4、什么是DDOS、现在什么软件最牛呢
• 5、syn 洪水是什么病毒？怎么预防，查杀？
• 6、在linux 下怎么才能用mdk3 这个命令啊 需要安装软件莫？？

Linux系统如何抵御TCP洪水攻击

#最关键参数，默认为5，修改为0 表示不要重发

net.ipv4.tcp_synack_retries = 0

#半连接队列长度

net.ipv4.tcp_max_syn_backlog = 200000

#系统允许的文件句柄的更大数目，因为连接需要占用文件句柄

fs.file-max = 819200

#用来应对突发的大并发connect 请求

net.core.somaxconn = 65536

#更大的TCP 数据接收缓冲（字节）

net.core.rmem_max = 1024123000

#更大的TCP 数据发送缓冲（字节）

net.core.wmem_max = 16777216

# *** 设备接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的更大数目

net.core.netdev_max_backlog = 165536

#本机主动连接其他机器时的端口分配范围

net.ipv4.ip_local_port_range = 10000 65535

为了处理大量连接，还需改大另一个参数：

# vi /etc/security/limits.conf

在底下添加一行表示允许每个用户都更大可打开409600个文件句柄（包括连接）：

* – nofile 409600

Linux多久需要重启一次？长时间不重启会出现什么后果？

例行重启linux洪水攻击软件我linux洪水攻击软件了解的公司一般每季度或者半年一次吧。

非例行需要重启的只有硬件设备更换linux洪水攻击软件，核心软件包升级linux洪水攻击软件，或者内核错误，内存泄漏什么的查不明白了等情况。

重启需要了解之前部署的情况，比如很多系统因为之前维护不规范会发生临时改过系统参数，改过挂载点，改过路由等等很多乱起八糟的东西重启以后不会自动修改，可能会引起问题，一定要全部弄清楚才能重启，当然如果你们的运行维护比较规范，什么操作都有记录的话就没有这个问题。

请简单描述SYN洪水攻击的原理？

SYN洪水攻击 原理

SYN攻击

最近对SYN Flood特别感兴趣，看到一个关于SYN cookie firewall的文章，在google搜了一下，没中文的，翻译他一下

本文介绍了4个概念

一：介绍SYN

二：什么是SYN洪水攻击

三：什么是SYN cookie

四：什么是SYN cookie防火墙

C=client(客户器)

S=Server(服务器)

FW=Firewall(防火墙)

一：介绍SYN

SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句

，默认的stat是no）,但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个 *** 和所有的网

络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当

连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。

二：什么是SYN洪水攻击？（来自CERT的警告）

当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。

这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。

首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完

整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：）

Client Server

------ ------

SYN--------------------

--------------------SYN-ACK

ACK--------------------

Client and server can now

send service-specific data

在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要

耗费一定的数量的系统内存来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击 。

通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个 。

SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。

而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放 。

连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续

攻击。

在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统

还是可能耗尽系统资源，以导致其他种种问题。

攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址

，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的 *** 。

三：什么是SYN cookie？

SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回

一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接，

然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。

在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就

是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回，

S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以

避免守侯半开放连接了。

以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细

内容。

4，什么是SYN COOKIE 防火墙

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的

一大特色，你可以使用一个防火墙来保护你的 *** 以避免遭受SYN洪水攻击。

下面是SYN cookie防火墙的原理

client firewall server

------ ---------- ------

1. SYN----------- - - - - - - - - - -

2. ------------SYN-ACK(cookie)

3. ACK----------- - - - - - - - - - -

4. - - - - - - -SYN---------------

5. - - - - - - - - - ------------SYN-ACK

6. - - - - - - -ACK---------------

7. ----------- relay the -------

----------- connection -------

1:一个SYN包从C发送到S

2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C

3：C发送ACK包，接着防火墙和C的连接就建立了。

4：防火墙这个时候扮演C的角色发送一个SYN给S

5：S返回一个SYN给C

6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了

7：防火墙转发C和S间的数据

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在之一步的SYN包，所以我们就击退了这次SYN洪水攻 击。

什么是DDOS、现在什么软件最牛呢

DDOS

DDOS,Tsingsec,清华安全linux洪水攻击软件，安全你的未来

资料来源

DDOS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",DDOS的中文名叫分布式拒绝服务攻击linux洪水攻击软件，俗称洪水攻击

[编辑本段]DDoS攻击概念

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者 *** 带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与 *** 技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现linux洪水攻击软件了千兆级别的 *** ，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与 *** 带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与 *** 的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

高速广泛连接的 *** 给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速 *** 时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标 *** 距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其linux洪水攻击软件他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

[编辑本段]被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

*** 中充斥着大量的无用的数据包，源地址为假

制造高流量无用数据，造成 *** 拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

大级别攻击运行原理

如图，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分linux洪水攻击软件：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

[编辑本段]黑客是如何组织一次DDoS攻击的？

这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：

1. 搜集了解目标的情况

下列情况是黑客非常关心的情报：

被攻击目标主机数目、地址情况

目标主机的配置、性能

目标的带宽

对于DDoS攻击者来说，攻击互联网上的某个站点，如，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供 服务的：

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到 的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

2. 占领傀儡机

黑客最感兴趣的是有下列情况的主机：

链路状态好的主机

性能好的主机

安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得更高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

3. 实际攻击

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

防范DDOS攻击的工具软件：CC v2.0

防范DDOS比较出色的防火墙：硬件有Cisco的Guard、Radware的DefensePro，软件有冰盾DDOS防火墙、8Signs Firewall等。

syn 洪水是什么病毒？怎么预防，查杀？

syn flood 半链接洪水，它属于TCP的体制漏洞，非常难防范，我也没有太好的办法，

1）可以把服务器的能力放大 需要400M的带宽

2）选折抵抗 可以用linux 加cookies

做法 echo 1 /proc/sys/net/tcp_syncookies

3）可以考虑购买硬件防火墙（如果资金允许）

syn攻击是利用TCP的3次握手，他只给你前两次的握手，你的内存就会分给他内存地址，他又不给你第3次握手，你的系统慢慢就会瘫痪

一般的 *** 就是用6次握手机制解决

前面的2，3都是这个原理

强烈鄙视楼上的,你懂不懂啊,SYN是攻击,不是病毒

补充: 80 http的端口,也就是攻击你的应该是互联的机器,能用SYN攻击的应该是高手,你要小心了

在linux 下怎么才能用mdk3 这个命令啊 需要安装软件莫？？

MDK3 是一款无线DOS 攻击测试工具，能够发起Beacon Flood、Authentication DoS、Deauthentication/Disassociation Amok 等模式的攻击,另外它还具有针对隐藏ESSID 的暴力探测模式、802.1X 渗透测试、WIDS干扰等功能”。

——虽然这几句话被转了N遍，但我们还是以这句话开头；今天就围绕以上提到的几种攻击模式进行简单的折腾下：

首先激活无线网卡至监听模式，然后输入mdk3 --fullhelp查看详细帮助内容

beacon flood mode：

这个模式可以产生大量死亡SSID来充斥无线客户端的无线列表，从而扰乱无线使用者；我们甚至还可以自定义发送死亡SSID的BSSID和ESSID、加密方式（如wep/wpa2）等。

详细命令如下：

mdk3 mon0 b

-n ssid #自定义ESSID

-f filename #读取ESSID列表文件

-v filename #自定义ESSID和BSSID对应列表文件

-d #自定义为Ad-Hoc模式

-w #自定义为wep模式

-g #54Mbit模式

-t # WPA TKIP encryption

-a #WPA AES encryption

-m #读取数据库的mac地址

-c chan #自定义信道

-s pps #发包速率

mdk3 --help b #查看详细内容

Authentication DoS：

这是一种验证请求攻击模式：在这个模式里，软件自动模拟随机产生的mac向目标AP发起大量验证请求，可以导致AP忙于处理过多的请求而停止对正常连接客户端的响应；这个模式常见的使用是在reaver穷据路由PIN码，当遇到AP被“pin死”时，可以用这个模式来直接让AP停止正常响应，迫使AP主人重启路由！

mdk3 mon0 a

-a ap_mac #测试指定BSSID

-m #使用有效数据库中的客户端mac地址

-c #对应 -a ，不检查是否测试成功

-i ap_mac #对指定BSSID进行智能攻击

-s pps #速率，默认50

Deauthentication/Disassociation Amok：

这个模式看名称就知道大概了：强制解除验证解除连接！在这个模式下，软件会向周围所有可见AP发起循环攻击......可以造成一定范围内的无线 *** 瘫痪（当然有白名单，黑名单模式），直到手动停止攻击！

mdk3 mon0 d

-w filename #白名单mac地址列表文件

-b filename #黑名单mac地址列表文件

-s pps #速率，这个模式下默认无限制

-c [chan,chan,chan,...] #信道，可以多填，如 2,4,5,1

Basic probing and ESSID Bruteforce mode:

基本探测AP信息和ESSID猜解模式

mdk3 mon0 p

-e ssid #待检测的ssid

-f filename #检测AP设置为隐藏的ssid列表文件

-t bssid #用bssid检测AP的信息

-s pps #速率，默认300

-b character set #设置字符集

802.1X tests：

802.1X 协议下的攻击测试

mdk3 mon0 x

0 - EAPOL Start packet flooding #EAPOL格式的报文洪水攻击

-n ssid

-t bssid #目标客户端的mac地址

-w WPA type

Set WPA type (1: WPA, 2: WPA2/RSN; default: WPA)

-u unicast cipher

Set unicast cipher type (1: TKIP, 2: CCMP; default: TKIP)

-m multicast cipher

Set multicast cipher type (1: TKIP, 2: CCMP; default: TKIP)

-s pps #速率，默认400

1 - EAPOL Logoff test #注销认证攻击

-t bssid #目标客户端的mac地址

-c bssid #目标ap的合法客户端mac

-s pps #速率，默认400