syn攻击如何防护，求高手指点

sealin · 发表于 2015-4-21 23:15:16

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

测试了filter表里做syn接入数限制，不过这样会影响正常的连接
测试了Ip fir conn里面的tracking，效果不明显，cpu仍然在80%以上飘着
其他的办法就不知道了
大家还有好办法么？恳请赐教

实测，以上两种办法都用上，300M光纤接入，跑满syn的情况下，24核心2.7主频的ros负载在50-70%，丢包率50%以上，基本废了
求高手赐教其他好办法

47771885 · 发表于 2015-4-21 23:32:36

限速。。。。。。。。。。。。当然不是一般的限速

sealin · 发表于 2015-4-22 10:31:59

47771885 发表于 2015-4-21 23:32
限速。。。。。。。。。。。。当然不是一般的限速

大灰狼，咋限速，三层交换机限速么？还是纯用ros
我现在都在考虑ros前面加硬防了

9939781 · 发表于 2015-4-22 12:47:34

限制个连接数完事，一个用户2K个链接不够？不至于吧？

yjcoke · 发表于 2015-4-22 18:29:12

就我的了解，攻击的话如果是syn真没什么用。

sealin · 发表于 2015-4-22 19:53:31

yjcoke 发表于 2015-4-22 18:29
就我的了解，攻击的话如果是syn真没什么用。

是的，目前各种能想到的办法都用了
没效果，还是继续玩躲猫猫吧
换ip，换域名
加大接入带宽

sealin · 发表于 2015-4-22 19:55:16

9939781 发表于 2015-4-22 12:47
限制个连接数完事，一个用户2K个链接不够？不至于吧？

不是来自内网的syn攻击，是来自外网的

jldfwwt · 发表于 2015-4-22 22:29:30

找运营商，可以解决。

47771885 · 发表于 2015-4-22 23:15:05

重点已经说过了。。并且真实运作过

sealin · 发表于 2015-4-23 09:21:49

47771885 发表于 2015-4-22 23:15
重点已经说过了。。并且真实运作过

来源地单一ip，用input直接drop包，cpu亦然很高
实在想不到更好的办法了
目前考虑了两个方案
ros前加三层交换硬件过滤
ros前加ros利用桥做透明过滤

麻烦具体说下思路，十分感谢啊~~~

账号		自动登录	找回密码
密码			注册

[策略设置] syn攻击如何防护，求高手指点

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

相关帖子

回帖奖励 +1 铜板


奖 19 铜板	回复本帖可获得 1 铜板奖励! 每人限 1 次(中奖概率 50%)