Αυτό το άρθρο είναι ένα άρθρο καθρέφτη της αυτόματης μετάφρασης, κάντε κλικ εδώ για να μεταβείτε στο αρχικό άρθρο.

Architect_Programmer_Code Δίκτυο Γεωργίας»Αρχιτέκτονας Άλλες τεχνολογίες Windows/Linux Το Linux έχει πολλές ρυθμίσεις ασφαλείας για την αποτροπή επιθέσεων DDoS
Άποψη: 11726|Απάντηση: 0

[Linux] Το Linux έχει πολλές ρυθμίσεις ασφαλείας για την αποτροπή επιθέσεων DDoS

[Αντιγραφή συνδέσμου]
Δημοσιεύτηκε στις 13/11/2014 6:03:02 μ.μ. | | |
Τροποποίηση της παραμέτρου sysctl
$ sudo sysctl -α | grep ipv4 | grep syn

Η έξοδος είναι παρόμοια με την ακόλουθη:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies είναι αν θα ενεργοποιηθεί η λειτουργία SYN COOKIES, το "1" είναι ενεργοποιημένο, το "2" είναι απενεργοποιημένο.
net.ipv4.tcp_max_syn_backlog είναι το μήκος της ουράς SYN και η αύξηση του μήκους της ουράς μπορεί να φιλοξενήσει περισσότερες συνδέσεις δικτύου που περιμένουν να συνδεθούν.
net.ipv4.tcp_synack_retries και net.ipv4.tcp_syn_retries καθορίζουν τον αριθμό των επαναλήψεων SYN.

Προσθέστε τα ακόλουθα στο /etc/sysctl.conf και, στη συνέχεια, εκτελέστε το "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Βελτιώστε τη συνδεσιμότητα TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos υπόδειξη 5.4 δεν έχει αυτή τη λέξη-κλειδί

Χρησιμοποιήστε iptables
Εντολή:

# netstat -ένα | grep ":80" | grep ΙΔΡΥΘΗΚΕ


Ας δούμε ποιες IP είναι ύποπτες~ Για παράδειγμα: Το 221.238.196.83 έχει πολλές συνδέσεις σε αυτήν την IP και είναι πολύ ύποπτο και δεν θέλω να συνδεθεί ξανά στο 221.238.196.81. Διαθέσιμες εντολές:

iptables -A ΕΙΣΟΔΟΣ -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ΑΠΟΔΟΧΗ

Αυτό είναι λάθος


Νομίζω ότι πρέπει να γραφτεί έτσι

iptables -Α ΕΙΣΟΔΟΣ -s 221.238.196.83 -p tcp -j ΣΤΑΓΟΝΑ




Απορρίψτε πακέτα από το 221.238.196.83.

Για επιθέσεις SYN FLOOD που πλαστογραφούν τη διεύθυνση IP προέλευσης. Αυτή η μέθοδος είναι αναποτελεσματική


Άλλες αναφορές

Αποτροπή Sync Flood

# iptables -A FORWARD -p tcp --syn -m όριο --όριο 1/s -j ΑΠΟΔΟΧΗ

Υπάρχουν επίσης άνθρωποι που γράφουν

# iptables -A ΕΙΣΟΔΟΣ -p tcp --syn -m όριο --όριο 1/s -j ΑΠΟΔΟΧΗ

--Όριο 1/s Περιορίστε τον αριθμό των ταυτόχρονων συν σε 1 ανά δευτερόλεπτο, ο οποίος μπορεί να τροποποιηθεί σύμφωνα με τις δικές σας ανάγκες για να αποτρέψετε διάφορες σαρώσεις θυρών

# iptables -A ΜΠΡΟΣΤΑ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m όριο --όριο 1/s -j ΑΠΟΔΟΧΗ

Ping του θανάτου

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




BSD

Λειτουργία:

sysctl net.inet.tcp.msl=7500

Για να λειτουργήσει η επανεκκίνηση, μπορείτε να προσθέσετε την ακόλουθη γραμμή στο /etc/sysctl.conf:

net.inet.tcp.msl=7500





Προηγούμενος:Ο χώρος QQ βλέπει
Επόμενος:Βίντεο: Ταϊλάνδη 2013 Θεία Κωμωδία "Θέλετε η καρδιά σας να αλλάξει τον αριθμό τηλεφώνου σας"

σχετικές αναρτήσεις
Αποκήρυξη:
Όλο το λογισμικό, το υλικό προγραμματισμού ή τα άρθρα που δημοσιεύονται από το Code Farmer Network προορίζονται μόνο για μαθησιακούς και ερευνητικούς σκοπούς. Το παραπάνω περιεχόμενο δεν θα χρησιμοποιηθεί για εμπορικούς ή παράνομους σκοπούς, άλλως οι χρήστες θα υποστούν όλες τις συνέπειες. Οι πληροφορίες σε αυτόν τον ιστότοπο προέρχονται από το Διαδίκτυο και οι διαφορές πνευματικών δικαιωμάτων δεν έχουν καμία σχέση με αυτόν τον ιστότοπο. Πρέπει να διαγράψετε εντελώς το παραπάνω περιεχόμενο από τον υπολογιστή σας εντός 24 ωρών από τη λήψη. Εάν σας αρέσει το πρόγραμμα, υποστηρίξτε γνήσιο λογισμικό, αγοράστε εγγραφή και λάβετε καλύτερες γνήσιες υπηρεσίες. Εάν υπάρχει οποιαδήποτε παραβίαση, επικοινωνήστε μαζί μας μέσω email.
Mail To:help@itsvse.com