Linux系统下的NAT及防火墙的混合应用 （5）

2． SYN Flood (拒绝服务攻击)

SYN Flood 是目前最流行的拒绝服务攻击与分布式拒绝服务攻击的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。

前面已经提过TCP的三次握手，问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器一般会重试（再次发送SKY+ACK给客户端）并等待一段是句丢弃这个未完成的连接，这段时间的长度我们称为（SYN Timeout）,一般来说这个时间是分钟为单位（半分钟-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗很多的CPU资源与时间，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬合法请求（客户端的正常请求相较于非法请求来说非常小），此时从正常连接的角度来说，服务器失去了响应，这种情况我们称为服务器收到了洪水攻击。

从防御角度来说，可以缩短SYN- Timeout时间，由于SYN FLOOD攻击效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度* SYN Timeout，所以通过缩短从接受到SYN报文到区定这个报文物校并丢弃连接的时间，，可以降低服务器的负荷。

我们可以在用IPTABLES执行如下语句：

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

在所有的IPTABLES规则制定完后，可以用$ iptables-save > iptables-script把写入的全部的规则写入到文件，然后 在 /etc/rc.d/rc.local加入：iptables-restore iptables-script.这样每次重新启动系统将自动载入iptables设定好的规则。

结论

本设计实现了Linux服务器在局域网内的代理上网应用和网络防火墙应用，大量使用了Linux下的防火墙iptables。并且对tcp/ip协议作了透彻的讲解，对网络的典型攻击方式进行了明确的阐述。证明Linux在作为网络网关服务器有充分的方式，不仅系统强壮，并且配置性很强。希望给广大喜欢网络及网络管理的同学提供了新的思路。