浅谈基本的网络安全

　　由于最近在看《linux企业案例精解第二版》的书，里面的很多作者亲身经历的事故总结给了我很多学习的一手资料，我认为很受用，特此来分享一下笔记

首先介绍一下DDOS

DDOS分类：1.容量耗尽攻击，这种攻击企图耗尽转发或链接容量   2.状态表耗尽攻击，这种攻击企图耗尽基础设施和服务器里面的状态表  3.应用层攻击，这种方法企图耗尽应用成层资源

DDOS原理：DDOS是DOS攻击的加强版，基本的DOS是通过操纵单台攻击机连接服务器，利用TCP三次握手原理，发出大量合理但非正常的请求来占用过多的服务器资源，从而导致服务器无法为其他用户提供正常服务。而DDOS攻击之前在网络上收集足够多的"肉鸡"作为攻击机，能力强的甚至可以在已经控制的一级"肉鸡"中扩大更多有漏洞的机器，具有多级主从关系的攻击链，一旦发起攻击，所有可利用的攻击机器会同时对目标服务展开进攻，攻击规模大，破坏力强

TCP三次握手过程：

第一次握手：建立连接时，客户端发送SYN包(seq=x)到服务器，并进入SYN-SEND状态，等待服务器确认

第二次握手：服务器收到SYN包后，必须确认客户的SYN(ACK=x+1)，同时发送一个SYN包(seq=y),即SYN+ACK包，此时服务器进入SYN-RECV状态

第三次握手:客户端收到服务器的SYN+ACK包，向服务器发送确认包，ACK(ack=y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态

在上述过程中有一些重要概念

　　未连接队列：在三次握手协议中，服务器维护着一个未连接队列。该队列为每个客户端的SYN包(seq=y)开设一个条目，条目表名服务器已经收到SYN包，并向客户发布确认，等待客户的确认包，这些条目所表示的链接是在服务器处于SYN-RECV状态时，当服务器收到客户的确认包时删除这些条目，服务器进入ESTABLISHED状态

　　Backlog参数，表示未连接队列的最大容纳数据

　　SYN+ACK 重传次数。服务器发送完SYN+ACK包后，如果未收到客户确认包，则服务器进行首次重传，再过一段时间后仍未收到客户确认包，则进行第二次重传。如果重传次数超过系统规定的最大重传次数时，则系统将该连接信息从半连接队列中删除。注意每次重传等待的时间不一定相同

　　半连接存活时间。指定半连接队列条目存活的最长时间，即服务从收到SYN包到确认这个报文无效的最长时间，该时间值时所有重传请求包的最长等待时间总和，有时也成为半连接存活时间为Timeout时间或者SYN-RECV存活时间

　　TCP-SYN Flood又称为半开式连接攻击。攻击者会利用一些特殊工具制造大量的非法数据包，把原地址伪装成为一个实际不存在的地址，因此当服务方收到请求方的SYN包并回送SYN+ACK确认消息后，请求放由于原地址欺骗等手段，致使服务方根本得不到ACK回应

　　事实上请求方除了立即响应SYN+ACK消息外，也可能因为正在处理数据而暂时无法响应服务端消息，这是正常的，所以在设计中考虑让服务器持续一段时间保留SYN+ACK信息片断，等待接收方ACK消息是很有必要的。但是一台服务器的TCP连接是有线的，如果恶意攻击利用此快速、连续发送此类连接请求，则服务器可用的TCP链接很快会被阻塞，系统可用资源、网络可用宽带急剧下降，这就是TCP-SYN Flood攻击原理

防范DDOS攻击

　　1.通过合理配置系统    2加固TCP/IP协议栈    3通过防火墙

SYN Cookies技术：用于限制同时打开的半连接数。 echo 1>/proc/sys/net/ipv4/tcp_syncookies

增加最大半连接数:默认为256，sysctl -W net.ipv4.tcp_max_syn_backlog='2048'

缩短SYN半连接的Timeout时间：sysctl -W net.ipv4.tcp_syn_retries='0'

下面是用shell脚本实现防止恶意连接:

#!/bin/bash
MAX_TOTAL_SYN_RECV=1000
MAX_PER_IP_SYN_RECV=20
MARK='SYN_RECV'

#定义链接状态为"SYN_RECV"
PORT=80
LOGFILE="/var/log/netstat_${MARK}-$PORT"
LOGFILE_IP="/var/log/netstat_connect_ip.log"
DROP_IP_LOG="/var/log/netstat_syn_drop_ip.log"

#iptables初始化，拒绝非法包和不明状态包，允许请求包和已连接的包进入
iptables -F -t filter
iptables -A -INPUT -p TCP -m state --state NEW -j DROP
iptables -A -INPUT -p ALL -m state --state INVALID -j DROP
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

#初始化变量
if [ -z ${MARK} ];then
    MARK="LISTEN"
fi

if [ -z $PORT ];then 
    SPORT='tcp'
else
    SPORT=":$PORT"
fi
#end
#保存netstat结果到指定记录文件中便于分析
netstat -autn |grep $MARK |grep $SPORT 2>/dev/null >$LOGFILE
if [ -s ${DROP_IP_LOG ];then
for i in `less ${DROP_IP_LOG} |awk '{print $1}'`
    do
        /sbin/iptables -A INPUT -p ALL -s $i -j DROP
    done
fi

for i in `less ${LOGFILE_IP}`
#统计同一IP的SYN-RECV状态
    do
    REPEAT_CONNECT_NUM =`grep $i $LOGFILE|wc -l`
    #如果超过预设的统一IP连接数，则拒绝此IP连接包进入
    if [ $REPEAT_CONNECT_NUM -gt ${MAX_RER_IP_SYN_RECV ];then
    echo "$I $REPEAT_CONNECT_NUM" >>${DROP_IP_LOG}
    iptables -A INPUT -p ALL -s $i -j DROP
    fi
done

#统计所有状态为SYN_RECV的数据包，如果超过预设则重置状态
ALL_CONNECT=`uniq -u $LOGFILE|wc -l`
echo $ALL_CONNECT
if [ $ALL_CONNECT -gt $MAX_TOTAL_SYN_RECV ];then
    echo $ALL_CONNECT
    exit 1
fi

下面内容是转载 http://blog.csdn.net/shaobingj126/article/details/8549494

简介
提高服务器性能有很多方法，比如划分图片服务器，主从数据库服务器，和网站服务器在服务器。但是硬件资源额定有限的情况下，最大
的压榨服务器的性能，提高服务器的并发处理能力，是很多运维技术人员思考的问题。要提高 Linux 系统下的负载能力，可以使用 nginx 等
原生并发处理能力就很强的 web 服务器，如果使用 Apache 的可以启用其 Worker 模式，来提高其并发处理能力。除此之外，在考虑节省成
本的情况下，可以修改 Linux 的内核相关 TCP 参数，来最大的提高服务器性能。当然，最基础的提高负载问题，还是升级服务器硬件了，这
是最根本的。

TIME_WAIT

Linux 系统下， TCP 连接断开后，会以 TIME_WAIT 状态保留一定的时间，然后才会释放端口。当并发请求过多的时候，就会产生大量的
TIME_WAIT 状态的连接，无法及时断开的话，会占用大量的端口资源和服务器资源。这个时候我们可以优化 TCP 的内核参数，来及时将
TIME_WAIT 状态的端口清理掉

文介绍的方法只对拥有大量 TIME_WAIT 状态的连接导致系统资源消耗有效，如果不是这种情况下，效果可能不明显。可以使用 netstat 命
令去查 TIME_WAIT 状态的连接状态，输入下面的组合命令，查看当前 TCP 连接的状态和对应的连接数量

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

这个命令会输出类似下面的结果：
LAST_ACK 16
SYN_RECV 348
ESTABLISHED 70
FIN_WAIT1 229
FIN_WAIT2 30
CLOSING 33
TIME_WAIT 18098

我们只用关心 TIME_WAIT 的个数，在这里可以看到，有 18000 多个 TIME_WAIT ，这样就占用了 18000 多个端口。要知道端口的数量只有
65535 个，占用一个少一个，会严重的影响到后继的新连接。这种情况下，我们就有必要调整下 Linux 的 TCP 内核参数，让系统更快的释放
TIME_WAIT 连接

用 vim 打开配置文件： #vim /etc/sysctl.conf

在这个文件中，加入下面的几行内容：
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
输入下面的命令，让内核参数生效： #sysctl -p
简单的说明上面的参数的含义：
net.ipv4.tcp_syncookies = 1
# 表示开启 SYN Cookies 。当出现 SYN 等待队列溢出时，启用 cookies 来处理，可防范少量 SYN 攻击，默认为 0 ，表示关闭；
net.ipv4.tcp_tw_reuse = 1
# 表示开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接，默认为 0 ，表示关闭；
net.ipv4.tcp_tw_recycle = 1
# 表示开启 TCP 连接中 TIME-WAIT sockets 的快速回收，默认为 0 ，表示关闭；
net.ipv4.tcp_fin_timeout
# 修改系統默认的 TIMEOUT 时间。
在经过这样的调整之后，除了会进一步提升服务器的负载能力之外，还能够防御小流量程度的 DoS 、 CC 和 SYN 攻击。
此外，如果你的连接数本身就很多，我们可以再优化一下 TCP 的可使用端口范围，进一步提升服务器的并发能力。依然是往上面的参数文
件中，加入下面这些配置：
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
# 这几个参数，建议只在流量非常大的服务器上开启，会有显著的效果。一般的流量小的服务器上，没有必要去设置这几个参数。
net.ipv4.tcp_keepalive_time = 1200
# 表示当 keepalive 起用的时候， TCP 发送 keepalive 消息的频度。缺省是 2 小时，改为 20 分钟。
net.ipv4.ip_local_port_range = 10000 65000
# 表示用于向外连接的端口范围。缺省情况下很小： 32768 到 61000 ，改为 10000 到 65000 。（注意：这里不要将最低值设的太低，否则可
能会占用掉正常的端口！）
net.ipv4.tcp_max_syn_backlog = 8192
# 表示 SYN 队列的长度，默认为 1024 ，加大队列长度为 8192 ，可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_tw_buckets = 6000
# 表示系统同时保持 TIME_WAIT 的最大数量，如果超过这个数字， TIME_WAIT 将立刻被清除并打印警告信息。默 认为 180000 ，改为
6000 。对于 Apache 、 Nginx 等服务器，上几行的参数可以很好地减少 TIME_WAIT 套接字数量，但是对于 Squid ，效果却不大。此项参数可
以控制 TIME_WAIT 的最大数量，避免 Squid 服务器被大量的 TIME_WAIT 拖死。
内核其他 TCP 参数说明：
net.ipv4.tcp_max_syn_backlog = 65536
# 记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有 128M 内存的系统而言，缺省值是 1024 ，小内存的系统则是 128 。
net.core.netdev_max_backlog = 32768
# 每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。
net.core.somaxconn = 32768
#web 应用中 listen 函数的 backlog 默认会给我们内核参数的 net.core.somaxconn 限制到 128 ，而 nginx 定义的 NGX_LISTEN_BACKLOG 默认
为 511 ，所以有必要调整这个值。
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216 # 最大 socket 读 buffer, 可参考的优化值 :873200
net.core.wmem_max = 16777216 # 最大 socket 写 buffer, 可参考的优化值 :873200
net.ipv4.tcp_timestsmps = 0
# 时间戳可以避免序列号的卷绕。一个 1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种 “ 异常 ” 的数据包。这里需要
将其关掉。
net.ipv4.tcp_synack_retries = 2
# 为了打开对端的连接，内核需要发送一个 SYN 并附带一个回应前面一个 SYN 的 ACK 。也就是所谓三次握手中的第二次握手。这个设置决
定了内核放弃连接之前发送 SYN+ACK 包的数量。
net.ipv4.tcp_syn_retries = 2
# 在内核放弃建立连接之前发送 SYN 包的数量。
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
# 开启重用。允许将 TIME-WAIT sockets 重新用于新的 TCP 连接。
net.ipv4.tcp_wmem = 8192 436600 873200
# TCP 写 buffer, 可参考的优化值 : 8192 436600 873200
net.ipv4.tcp_rmem = 32768 436600 873200
# TCP 读 buffer, 可参考的优化值 : 32768 436600 873200
net.ipv4.tcp_mem = 94500000 91500000 92700000
# 同样有 3 个值 , 意思是 :
net.ipv4.tcp_mem[0]: 低于此值， TCP 没有内存压力。
net.ipv4.tcp_mem[1]: 在此值下，进入内存压力阶段。
net.ipv4.tcp_mem[2]: 高于此值， TCP 拒绝分配 socket 。
上述内存单位是页，而不是字节。可参考的优化值是 :786432 1048576 1572864
net.ipv4.tcp_max_orphans = 3276800
# 系统中最多有多少个 TCP 套接字不被关联到任何一个用户文件句柄上。
如果超过这个数字，连接将即刻被复位并打印出警告信息。
这个限制仅仅是为了防止简单的 DoS 攻击，不能过分依靠它或者人为地减小这个值，
更应该增加这个值 ( 如果增加了内存之后 ) 。
net.ipv4.tcp_fin_timeout = 30
# 如果套接字由本端要求关闭，这个参数决定了它保持在 FIN-WAIT-2 状态的时间。对端可以出错并永远不关闭连接，甚至意外当机。缺省
值是 60 秒。 2.2 内核的通常值是 180 秒，你可以按这个设置，但要记住的是，即使你的机器是一个轻载的 WEB 服务器，也有因为大量的死
套接字而内存溢出的风险， FIN- WAIT-2 的危险性比 FIN-WAIT-1 要小，因为它最多只能吃掉 1.5K 内存，但是它们的生存期长些。
经过这样的优化配置之后，你的服务器的 TCP 并发处理能力会显著提高。以上配置仅供参考，用于生产环境请根据自己的实际情况