镜像站遭遇 SYN 泛洪攻击的诊断与防御
异常的连接数
近日,镜像站莫名遭到多次攻击,症状表现为 TCP 连接数异常上升,久久得不到释放。后台监控检测到大量 5XX 错误,CPU 负载高,正常业务受到较大影响。
通过使用 netstat 命令可以统计服务器当前的各种 TCP 状态:
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
我站在受攻击时的状态列表如下:
TIME_WAIT 168
CLOSE_WAIT 9
SYN_SENT 3
FIN_WAIT1 229
FIN_WAIT2 113
ESTABLISHED 234
SYN_RECV 1272
CLOSING 3
LAST_ACK 97
可以明显发现 SYN_RECV 连接数异常增多。
仅通过这一现象就可以判断为服务器受到了 SYN Flood 泛洪攻击。