|
|
Veröffentlicht am 13.11.2014 18:03:02
|
|
|
Modifiziere den sysctl-Parameter
$ sudo sysctl -a | grep IPv4 | grep syn
Die Ausgabe ist ähnlich wie folgt:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_syncookies ist, ob die Funktion SYN COOKIES aktiviert werden soll: "1" ist eingeschaltet, "2" ist aus.
net.ipv4.tcp_max_syn_backlog ist die Länge der SYN-Warteschlange, und eine Erhöhung der Warteschlange kann mehr Netzwerkverbindungen ermöglichen, die auf eine Verbindung warten.
net.ipv4.tcp_synack_retries und net.ipv4.tcp_syn_retries definieren die Anzahl der SYN-Wiederholungen.
Füge das Folgende zu /etc/sysctl.conf hinzu und führe dann "sysctl -p" aus!
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
Verbesserung der TCP-Konnektivität
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint enthält dieses Schlüsselwort nicht
Verwenden Sie iptables
Befehl:
# netstat -an | grep ":80" | GREIV GEGRÜNDET
Schauen wir mal, welche IPs verdächtig sind~ Zum Beispiel: 221.238.196.83 hat viele Verbindungen zu dieser IP und ist sehr verdächtig, und ich möchte nicht, dass es wieder mit 221.238.196.81 verbunden wird. Verfügbare Befehle:
iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j AKZEPTIEREN
Das ist falsch
Ich finde, es sollte so geschrieben sein
iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP
Entsorge Päckchen vom 221.238.196.83.
Für SYN FLOOD-Angriffe, die die Quell-IP-Adresse fälschen. Diese Methode ist wirkungslos
Weitere Bezüge
Synchronisationsflut verhindern
# iptables -A FORWARD -p tcp --syn -m Limit --limit 1/s -j AKZEPTIEREN
Es gibt auch Leute, die schreiben
# iptables -A INPUT -p tcp --syn -m Limit --limit 1/s -j AKZEPTIEREN
--begrenze 1/s die Anzahl der Syn-Nebenzeitigkeit auf 1 pro Sekunde, was je nach eigenen Bedürfnissen angepasst werden kann, um verschiedene Port-Scans zu verhindern
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j AKZEPTIEREN
Ping des Todes
# iptables -A FORWARD -p icmp --icmp-Typ Echo-Anfrage -m Limit --limit 1/s -j ACCEPT
BSD
Bedienung:
sysctl net.inet.tcp.msl=7500
Damit der Neustart funktioniert, kannst du die folgende Zeile zu /etc/sysctl.conf hinzufügen:
net.inet.tcp.msl=7500
|
Vorhergehend:QQ-Raum siehtNächster:Video: Thailand 2013 Divine Comedy "Will, dass dein Herz deine Telefonnummer ändert"
|
