Тази статия е огледална статия за машинен превод, моля, кликнете тук, за да преминете към оригиналната статия.

Architect_Programmer_Code Селскостопанска мрежа»Архитект Други технологии Windows/Linux Linux има няколко настройки за сигурност за предотвратяване на DDoS атаки
Изглед: 11726|Отговор: 0

[linux] Linux има няколко настройки за сигурност за предотвратяване на DDoS атаки

[Копирай линк]
Публикувано в 13.11.2014 г. 18:03:02 ч. | | |
Модифициране на параметъра sysctl
$ sudo sysctl -a | GREP IPv4 | grep syn

Изходът е подобен на следните:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies е дали да се включи функцията SYN COOKIES – "1" е включен, "2" е изключен.
net.ipv4.tcp_max_syn_backlog е дължината на SYN опашката и увеличаването на дължината на опашката може да поеме повече мрежови връзки, които чакат да бъдат свържени.
net.ipv4.tcp_synack_retries и net.ipv4.tcp_syn_retries определят броя на повторенията на SYN.

Добавете следното в /etc/sysctl.conf и след това изпълнете "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Подобряване на TCP свързаността

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint няма тази ключова дума

Използвайте iptables
Команда:

# netstat -an | grep ":80" | grep УСТАНОВЕНО


Нека видим кои IP адреси са подозрителни~ Например: 221.238.196.83 има много връзки с този IP и е много подозрителен, и не искам отново да бъде свързан с 221.238.196.81. Налични команди:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Това е грешно


Мисля, че трябва да се пише така

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Изхвърляне на пакети от 221.238.196.83.

За SYN FLOOD атаки, които фалшифицират изходния IP адрес. Този метод е неефективен


Други препратки

Предотвратете синхронизирано наводнение

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Има и хора, които пишат

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ПРИЕМИ

--лимит 1/s ограничава броя на syn concurrency до 1 на секунда, което може да се променя според вашите нужди, за да се предотврати различно сканиране на портове

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Пинг на смъртта

# iptables -A FORWARD -p icmp --icmp-тип echo-request -m limit --limit 1/s -j ACCEPT




BSD

Експлоатация:

sysctl net.inet.tcp.msl=7500

За да работи рестартът, можете да добавите следния ред в /etc/sysctl.conf:

net.inet.tcp.msl=7500





Предишен:QQ пространствени виждания
Следващ:Видео: Тайландска божествена комедия 2013 "Искам сърцето ти да смени телефонния си номер"

Свързани публикации
Отричане:
Целият софтуер, програмни материали или статии, публикувани от Code Farmer Network, са само за учебни и изследователски цели; Горното съдържание не трябва да се използва за търговски или незаконни цели, в противен случай потребителите ще понесат всички последствия. Информацията на този сайт идва от интернет, а споровете за авторски права нямат нищо общо с този сайт. Трябва напълно да изтриете горното съдържание от компютъра си в рамките на 24 часа след изтеглянето. Ако ви харесва програмата, моля, подкрепете оригинален софтуер, купете регистрация и получете по-добри услуги. Ако има нарушение, моля, свържете се с нас по имейл.
Mail To:help@itsvse.com