Tento článek je zrcadlovým článkem o strojovém překladu, klikněte zde pro přechod na původní článek.

Architect_Programmer_Code Zemědělská síť»Architekt Další technologie Windows/Linux Linux má několik bezpečnostních nastavení, která zabraňují DDoS útokům
Pohled: 11726|Odpověď: 0

[linux] Linux má několik bezpečnostních nastavení, která zabraňují DDoS útokům

[Kopírovat odkaz]
Zveřejněno 13.11.2014 18:03:02 | | |
Upravte parametr sysctl
$ sudo sysctl -a | Grep IPv4 | Grep syn

Výstup je podobný následujícímu:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies je, zda zapnout funkci SYN COOKIES – "1" je zapnutá, "2" vypnutá.
net.ipv4.tcp_max_syn_backlog je délka fronty SYN a její prodloužení umožňuje více síťových připojení čekajících na připojení.
net.ipv4.tcp_synack_retries a net.ipv4.tcp_syn_retries určují počet SYN opakovaných pokusů.

Přidejte následující do /etc/sysctl.conf a poté vykonejte "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Zlepšení TCP konektivity

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 nápověda toto klíčové slovo nemá

Použijte iptables
Příkaz:

# netstat -an | Grep ":80" | grep ZALOŽEN


Podívejme se, které IP adresy jsou podezřelé~ Například: 221.238.196.83 má na tuto IP hodně spojení a je velmi podezřelá, a nechci, aby byla znovu připojena k 221.238.196.81. Dostupné příkazy:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

To je špatně


Myslím, že by to mělo být napsáno takhle

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Pakety zahazování z 221.238.196.83.

Pro útoky SYN FLOOD, které falšují zdrojovou IP adresu. Tato metoda je neúčinná


Další odkazy

Zabránit synchronizačnímu záplavě

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Jsou tu také lidé, kteří píší

# iptables -A VSTUP -p tcp --syn -m limit --limit 1/s -j ACCEPT

--omezit 1/s omezit počet syn souběžnosti na 1 za sekundu, což lze upravit podle svých potřeb, aby se zabránilo různým portům skenování

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping smrti

# iptables -A FORWARD -p icmp --icmp-typ echo-request -m limit --limit 1/s -j ACCEPT




BSD

Provoz:

sysctl net.inet.tcp.msl=7500

Aby restart fungoval, můžete přidat následující řádek do /etc/sysctl.conf:

net.inet.tcp.msl=7500





Předchozí:QQ prostor vidí
Další:Video: Thajská komedie 2013 "Chceš, aby tvé srdce změnilo telefonní číslo"

Související příspěvky
Zřeknutí se:
Veškerý software, programovací materiály nebo články publikované organizací Code Farmer Network slouží pouze k učení a výzkumu; Výše uvedený obsah nesmí být používán pro komerční ani nelegální účely, jinak nesou všechny důsledky uživatelé. Informace na tomto webu pocházejí z internetu a spory o autorská práva s tímto webem nesouvisí. Musíte výše uvedený obsah ze svého počítače zcela smazat do 24 hodin od stažení. Pokud se vám program líbí, podporujte prosím originální software, kupte si registraci a získejte lepší skutečné služby. Pokud dojde k jakémukoli porušení, kontaktujte nás prosím e-mailem.
Mail To:help@itsvse.com