2.什麼是 TCP SYN Flood 攻擊? 
發表日期： 星期二, 15 六月 2004 @ 01:36:47 台北標準時間 

TCP SYN Flood是一種常見，而且有效的遠端(遠程)拒絕服務(Denial of Service)攻擊方式，它透過一定的操作破壞TCP三次握手建立正常連接，佔用並耗費系統資源，使得提供TCP服務的主機系統無法正常工作。 由於TCP SYN Flood是透過網路底層對服務器Server進行攻擊的，它可以在任意改變自己的網路IP地址的同時，不被網路上的其他設備所識別，這樣就給防範網路犯罪部門追查犯罪來源造成很大的困難。 在國內內外的網站中，這種攻擊屢見不鮮。在一個拍賣網站上，曾經有犯罪分子利用這種手段，在低價位時阻止其他用戶繼續對商品拍賣，干擾拍賣過程的正常運作。

系統檢查 
一般情況下，可以一些簡單步驟進行檢查，來判斷系統是否正在遭受TCP SYN Flood攻擊。

1、 服務端無法提供正常的TCP服務。連接請求被拒絕或超時。 
2、透過 netstat -an 命令檢查系統，發現有大量的SYN_RECV連接狀態。

3. iptables的设置，引用自

防止同步包洪水（Sync Flood） 
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 
也有人写作 
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 
--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改
防止各种端口扫描 
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
Ping洪水攻击（Ping of Death） 
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

附： 

防火墙例子：

参阅：

proc文件系统面面谈

 02-01-16 21:34 5467p ideal

什么是proc文件系统

proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件系统是动态从系统内核读出所需信息并提交的。它的目录结构如下：

目录名称 目录内容 
apm 高级电源管理信息 
cmdline 内核命令行 
Cpuinfo 关于Cpu信息 
Devices 可以用到的设备（块设备/字符设备） 
Dma 使用的DMA通道
Filesystems 支持的文件系统 
Interrupts 中断的使用 
Ioports I/O端口的使用 
Kcore 内核核心印象 
Kmsg 内核消息 
Ksyms 内核符号表 
Loadavg 负载均衡 
Locks 内核锁 
Meminfo 内存信息 
Misc 杂项
Modules 加载模块列表 
Mounts 加载的文件系统 
Partitions 系统识别的分区表 
Rtc 实时时钟
Slabinfo Slab池信息
Stat 全面统计状态表
Swaps 对换空间的利用情况 
Version 内核版本 
Uptime 系统正常运行时间

并不是所有这些目录在你的系统中都有，这取决于你的内核配置和装载的模块。另外，在/proc下还有三个很重要的目录：net，scsi和sys。Sys目录是可写的，可以通过它来访问或修改内核的参数（见下一部分），而net和scsi则依赖于内核配置。例如，如果系统不支持scsi，则scsi目录不存在。

除了以上介绍的这些，还有的是一些以数字命名的目录，它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下，以进程的PID号为目录名，它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口，是一个link。Proc文件系统的名字就是由之而起。进程目录的结构如下：

目录名称 目录内容 
Cmdline 命令行参数 
Environ 环境变量值 
Fd 一个包含所有文件描述符的目录 
Mem 进程的内存被利用情况 
Stat 进程状态 
Status 进程当前状态，以可读的方式显示出来 
Cwd 当前工作目录的链接 
Exe 指向该进程的执行命令文件
Maps 内存映象
Statm 进程内存状态信息 
Root 链接此进程的root目录

用户如果要查看系统信息，可以用cat命令。例如：

# cat /proc/interrupts 
CPU0 
0: 8728810 XT-PIC timer 
1: 895 XT-PIC keyboard 
2: 0 XT-PIC cascade 
3: 531695 XT-PIC aha152x 
4: 2014133 XT-PIC serial 
5: 44401 XT-PIC pcnet_cs 
8: 2 XT-PIC rtc 
11: 8 XT-PIC i82365 
12: 182918 XT-PIC Mouse 
13: 1 XT-PIC fpu PS/2 
14: 1232265 XT-PIC ide0 
15: 7 XT-PIC ide1 
NMI: 0

用户还可以实现修改内核参数。在/proc文件系统中有一个有趣的目录：/proc/sys。它不仅提供了内核信息，而且可以通过它修改内核参数，来优化你的系统。但是你必须很小心，因为可能会造成系统崩溃。最好是先找一台无关紧要的机子，调试成功后再应用到你的系统上。

要改变内核的参数，只要用vi编辑或echo参数重定向到文件中即可。下面有一个例子：

# cat /proc/sys/fs/file-max 
4096 
# echo 8192 > /proc/sys/fs/file-max 
# cat /proc/sys/fs/file-max 
8192

如果你优化了参数，则可以把它们写成添加到文件rc.local中，使它在系统启动时自动完成修改。

/proc文件系统中网络参数

在/proc/sys/net/ipv4/目录下，包含的是和tcp/ip协议相关的各种参数，下面我们就对这些网络参数加以详细的说明。

ip_forward 参数类型：BOOLEAN
0 - 关闭(默认值)
not 0 - 打开ip转发

在网络本地接口之间转发数据报。该参数非常特殊，对该参数的修改将导致其它所有相关配置参数恢复其默认值(对于主机参阅RFC1122，对于路由器参见RFC1812)

ip_default_ttl 参数类型：INTEGER
默认值为 64 。表示IP数据报的Time To Live值。

ip_no_pmtu_disc 参数类型：BOOLEAN
关闭路径MTU探测，默认值为FALSE

ipfrag_high_thresh 参数类型：整型
用来组装分段的IP包的最大内存量。当ipfrag_high_thresh数量的内存被分配来用来组装IP包，则IP分片处理器将丢弃数据报直到ipfrag_low_thresh数量的内存被用来组装IP包。