Wie kann man SYN_SENT stoppen?

Diese Frage scheint viele Ansichten zu bekommen, aber noch keine Antwort, also habe ich beschlossen, meine eigene Frage für jeden zu beantworten, der nach einer Lösung sucht.

Als erstes, den Grund zu kennen, ist die Hälfte der Lösung. Ich war unter dem sogenannten SYN Flooding Attack, der das Verhalten des HTTP-Protokolls gegen sich selbst verwendet.

Kurz gesagt versucht der Remote-Client eine Verbindung mit Ihrem Server herzustellen, indem er SYN sendet, Ihr Server antwortet mit SYN_ACK (in Ihren Protokollen sehen Sie SYN_SENT) und wartet, bis er ACK empfängt. Wenn ACK nicht innerhalb von xx Sekunden empfangen wird, sendet Ihr Server erneut SYN_ACK, .... und wieder .... und erneut. Es wird schließlich den konfigurierten Schwellenwert erreichen und keine weitere SYN-Anfrage akzeptieren, die dazu führt, dass Ihr Server nicht mehr reagiert. Eines der Symptome, das mir passierte, war, dass meine Website einmal reagierte, als ob nichts falsch wäre, aber in den nächsten xx-Zeiten nicht reagierte.

Die Lösung, die für mich funktionierte, war das Aktivieren von SYN-Cookies, SSH auf Ihrem Server, Öffnen Sie die folgende Datei mit Ihrem bevorzugten Editor. Ich verwende in diesem Beispiel vi

Fügen Sie diese Zeilen zur Datei hinzu und starten Sie den Server neu. Hoffentlich wird dies den Angriff stoppen, wie es für mich getan hat

Ich habe CentOS benutzt, ich denke, die obige Lösung wird auf allen Distributionen funktionieren, aber für den Fall, dass sie nicht nach "Wie man SYN Flooding Attack stoppt" für Ihre Linux-Distribution sucht

Nebenbei bemerkt, das Blockieren der IPs, die die SYN-Anfragen initiieren, wird wahrscheinlich nicht helfen, weil der Angreifer die IPs höchstwahrscheinlich gefälscht hat