SYN_RECV（SYN_RECV）-服务百科信息网

SYN_RECV是指，服务端被动打开后，接收到了客户端的SYN并且发送了ACK时的状态。再进一步接收到客户端的ACK就进入ESTABLISHED状态。TCP SYN Flood是一种常见，而且有效的远端(远程)拒绝服务(Denial of Service)攻击方式，它透过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。由于TCP SYN Flood是透过网路底层对服务器Server进行攻击的，它可以在任意改变自己的网路IP地址的同时，不被网路上的其他设备所识别，这样就给防范网路犯罪部门追查犯罪来源造成很大的困难。在国内外的网站中，这种攻击屡见不鲜。在一个拍卖网站上，曾经有犯罪分子利用这种手段，在低价位时阻止其他用户继续对商品拍卖，干扰拍卖过程的正常运作。

基础资料

简介

协议介绍

判断方法

一般情况下，可以一些简单步骤进行检查，来判断系统是否正在遭受TCP SYN Flood攻击。

1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时。

2、透过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。

检查服务器链接，SYN_RECV状态最高时有200多个，访问服务器网页特别慢，甚至超时，所以基本判定是SYN_RECV攻击。

解决方法

这个攻击的解决方法如下：

1，增加未完成连接队列（q0)的最大长度。

echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog

2, 启动SYN_cookie。

echo 1>/proc/sys/net/ipv4/tcp_syncookies

这些是被动的方法，治标不治本。而且加大了服务器的负担，但是可以避免被拒绝攻击（只是减缓）

治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中

如果对 /proc/sys/net/ipv4 下的配置文件进行解释，可以参阅 LinuxAid技术站的文章。查看本文全文也可以参阅。

关于 syn cookies，请参阅 <> http://cr.yp.to/syncookies.html

也许使用mod_limitipconn.c来限制apache的并发数也会有一定的帮助。

2. iptables的设置，引用自CU

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也有人写作

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

首页

科技

#贵族