一 DoS攻击

DoS攻击即拒绝服务攻击，如果细分来说包括非常多种类，有UDP洪水，ACK类型，DNS放大请求，NTP放大类型，TCP洪水，HTTP洪水，SYN洪水。总之这些攻击的目的是消耗服务器的带宽，内存，和cpu资源，从而让服务器因资源耗尽对一切过来的请求，只能拒绝或提供性能很差的服务，本文就是模拟SYN洪水攻击，并对这种场景进行分析，提供一些缓解攻击的办法。

二 环境和准备

2.1 网络环境

目前采用两台虚拟机和一台物理机实现部署环境，虚拟机均为centos8.5 ，整个网络环境如下：

2.2 软件安装

Nginx部署的web采用Docker简单部署，Dos工具采用hping3 发起syn攻击。

#podman类似docker，几乎可以通用
#-i  以交互模式运行容器，通常与 -t 同时使用
#-t  为容器重新分配一个伪输入终端，通常与 -i 同时使用
#-d  后台运行容器，并返回容器ID
[root@localhost ~]# podman  run -itd --name=nginx3 -.NETwork=host nginx

#测试服务是否启动,虽然是404 但是请求速度还是很快的
[root@localhost ~]#  curl -s -w 'Http code: %{http_code}nTotal time:%{time_total}sn' -o /dev/null http://192.168.31.50
Http code: 404
Total time:0.000963s

攻击工具安装：

yum install hping3

三 攻击分析

3.1 hping3 发送SYN包攻击

# -S 发送SYN包，-p 发送的端口80  -i u15 每1us 发送一个包
[root@Miwifi-RA72-srv ~]# hping3 -S -p 80 -i u1 192.168.31.50

3.2 服务机器分析

首先发现访问变慢了，注意有时候并不明显，测试url访问性能：

[root@MiWiFi-RA72-srv ~]#  curl -s -w 'Http code: %{http_code}nTotal time:%{time_total}sn' -o /dev/null http://192.168.31.50
Http code: 404
Total time:31.909641s

时间确实增加了，竟然要31s，注意一定要发一段时间，不然看不到效果。 那网络有问题，我们首先要看下网络的流量情况：

[root@localhost ~]# sar -n DEV 3
平均时间:     IFACE   rxpck/s   txpck/s    rxkB/s    txkB/s   rxcmp/s   txcmp/s  rxmcst/s   %ifutil
平均时间:        lo      1.22      1.22      0.06      0.06      0.00      0.00      0.00      0.00
平均时间:     ens33  16441.20  15444.20    963.43    905.56      0.00      0.00      0.00      0.79
平均时间:     ens37      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
平均时间:     ens38      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00
平均时间:     ens39      0.00      0.00      0.00      0.00      0.00      0.00      0.00      0.00

计算平均包长： 963*1024/16441.20=59B ，发现这些都是小包，下面我们需要继续分析下这些包是什么包，利用tcpdump抓包：

tcpdump -i ens33 -n tcp port 80 -w test.pcap

下载下来用wireshark分析下如下： wireshark 打开文件后，通过统计->流量图菜单弹出流分析：

首先我们可以看到192.168.31.200发起了很多的SYN包给192.168.31.50，192.168.31.50给192.168.31.200回复了SYN+ACK包，想建立了TCP连接，但是被192.168.31.200发送RST包中断了，这个和我们预期有些差别，主要是我们的IP没有随机，导致我们会回复RST包，这样虽然半连接也在增多，因为RST会导致终止了，所以消耗资源增加不够快，为了让服务器不回复给我们，我们可以通过hping3的另外选项发送包：

hping3 --rand-source -S -p 80 -i u1 192.168.31.50

抓包后继续用wireshark分析：

可以看到有大量的随机ip对192.168.31.50发起连接， 192.168.31.50对这些ip做响应，但是这些ip其实是欺骗的ip，导致无法收到响应包括RST报文，所以会导致SYN+ACK重发，从而消耗系统的资源。

TCP的三次握手还不清楚的话，可以按照下面的图理解下：

四 缓解办法

4.1 封IP

如果我们发现有固定的IP发来大量的SYN包，可以采用iptables 封了这个IP，禁止特定ip来发起连接 然后启动防火墙：

#iptables -I INPUT -s 192.168.31.200  -p tcp -j REJECT
#启动防火墙
#systemctl start firewalld 

这时候在抓包，发现被拒绝了。

[root@MiWiFi-RA72-srv ~]# hping3    -S -p 80 -i u1 192.168.31.50
HPING 192.168.31.50 (ens33 192.168.31.50): S set, 40 headers + 0 data bytes
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
ICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN   
[send_ip] sendto: Operation not permitted

tcpdump抓包看下,发现没有回复了，也许是没有来及回复- -

08:29:26.872385 IP 192.168.31.200.60180 > 192.168.31.50.http: Flags [S], seq 633025815, win 512, length 0
08:29:26.872389 IP 192.168.31.200.60181 > 192.168.31.50.http: Flags [S], seq 1327904571, win 512, length 0
08:29:26.872488 IP 192.168.31.200.60182 > 192.168.31.50.http: Flags [S], seq 1677934026, win 512, length 0
08:29:26.872498 IP 192.168.31.200.60183 > 192.168.31.50.http: Flags [S], seq 940613549, win 512, length 0
08:29:26.872510 IP 192.168.31.200.60184 > 192.168.31.50.http: Flags [S], seq 245284800, win 512, length 0
08:29:26.872514 IP 192.168.31.200.60185 > 192.168.31.50.http: Flags [S], seq 620067640, win 512, length 0
08:29:26.872612 IP 192.168.31.200.60186 > 192.168.31.50.http: Flags [S], seq 1859432659, win 512, length 0
08:29:26.872622 IP 192.168.31.200.60187 > 192.168.31.50.http: Flags [S], seq 2106267374, win 512, length 0
9856 packets dropped by kernel

这种局限性很大，一旦攻击端改成随机ip或者DDoS攻击，那么就不好封IP了。

4.2 限制每秒的SYN报文

# 限制syn并发数为每秒1次 这个可能会误伤啊，如果用户比较多很多被限制了
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

# 限制单个IP在60秒新建立的连接数为10
# iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT

#删除
# 查看规则
iptables -nL --line-number
# 删除规则 第二行
 iptables -D INPUT 2 

怎么知道规则生效那，除了上面的，还可以通过查看连接状态：

[root@localhost ~]# netstat -an|grep RECV|wc -l
128

加上规则后，这个数量为0，表示被拒绝了。

4.3 内核参数调整

增大半连接长度 通过上面的TCP三次握手图可以知道，如果增加了半连接队列的长度，一定程度上可以缓解下Dos攻击。

半连接队列长度 = roundup_pow_of_two(max_t(u32,min(somaxconn,sysctl_max_syn_backlog,backlog),8) +1)) roundup_pow_of_two为最接近2的指数次幂，简单理解为向上按照2的指数次幂取整。 不同的系统版本。

1. tcp_max_syn_backlog是指定所能接受SYN同步包的最大客户端数量，即半连接上限；
2. somaxconn是指服务端所能accept即处理数据的最大客户端数量，即完成连接上限。 默认值：

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog
128
[root@localhost ~]# cat /proc/sys/net/core/somaxconn
128

3. backlog 为用户程序设置的队列长度。 更改方法如下：

[root@localhost ~]# sysctl -w net.ipv4.tcp_max_syn_backlog=1024
net.ipv4.tcp_max_syn_backlog = 1024
[root@localhost ~]# sysctl  net.ipv4.tcp_max_syn_backlog
net.ipv4.tcp_max_syn_backlog = 1024
[root@localhost ~]# sysctl -w net.core.somaxconn=1024
net.core.somaxconn = 1024
[root@localhost ~]# sysctl  net.core.somaxconn
net.core.somaxconn = 1024
永久更改可以将配置写入到/etc/sysctl.conf中
[root@localhost ~]# vim /etc/sysctl.conf
net.core.somaxconn = 1024
net.ipv4.tcp_max_syn_backlog = 1024
#生效
[root@localhost ~]# sysctl -p

顺便聊下全连接，完成三次握手的会将连接信息放到全连接队列中，我们可以通过：

ss -lnt
[root@localhost ~]# ss -lnt
State      Recv-Q     Send-Q         Local Address:Port          Peer Address:Port     Process     
LISTEN     0          128                  0.0.0.0:111                0.0.0.0:*                    
LISTEN     0          128                  0.0.0.0:80                 0.0.0.0:*    

在Listen中其中Send-Q 为全连接队列的长度，Recv-Q为目前使用了多少。 全连接队列的大小= min(backlog, somaxconn） backlog为用户设置的队列长度，somaxconn同上，为系统参数。

减少syn-ack重发次数 服务器端收到SYN连接后会回复SYN+ACK，如果回复失败会进行多次重试，默认5次，我们可以减少重试次数：

[root@localhost ~]# sysctl net.ipv4.tcp_synack_retries
net.ipv4.tcp_synack_retries = 5
[root@localhost ~]# sysctl -w net.ipv4.tcp_synack_retries=1
net.ipv4.tcp_synack_retries = 1
[root@localhost ~]# sysctl net.ipv4.tcp_synack_retries
net.ipv4.tcp_synack_retries = 1

开启SYN cookie 对于半连接的队列长度，设置多长合适那，不太好设置，我们可以打开SYN cookie，这样在连接队列满了之后，会根据SYN的包计算一个cookie值，这个cookie作为将要返回的SYN ACK包的初始序列号，服务器端不再保存任何信息，客户回一个ACK包时候，根据包头信息计算cookie值，在于返回的确认序列号对比，如果相同，则是一个正常连接，如果不合法，则返回一个RST报文，这其中校验cookie是否合法时候，还要判断ACK时间是否为4分钟内到达，是才合法。

缺点 看起来好像cookie方式比较完美，但是由于不再服务器端保存任何信息，所以就无法重发SYN+ACK报文，由于有一定计算量，且如果对方采用ACK攻击，那么服务器端需要计算比较，也无法预防的。

[root@localhost ~]# sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1

同样，永久生效需要写入到/etc/sysctl.conf中去。

五 总结

Dos攻击，特别是DDos攻击，采用的是发送大量包的方法来消耗服务器端的资源，上面的手段也只能减缓攻击，不能彻底解决问题，业界对这种攻击一般用流量清洗的办法，将DDos攻击的流量和正常用户请求分离出来，或者增加CDN缓存，和WAF等方式。