Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Otras tecnologías Windows/Linux Linux tiene varias configuraciones de seguridad para prevenir ataques DDoS
Vista: 11726|Respuesta: 0

[Linux] Linux tiene varias configuraciones de seguridad para prevenir ataques DDoS

[Copiar enlace]
Publicado en 13/11/2014 18:03:02 | | |
Modificar el parámetro sysctl
$ sudo sysctl -a | grep ipv4 | grep syn

La salida es similar a la siguiente:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies es si activar la función SYN COOKIES, "1" está activado, "2" está apagado.
net.ipv4.tcp_max_syn_backlog es la longitud de la cola SYN, y aumentar la longitud de la cola puede acomodar más conexiones de red esperando a ser conectadas.
net.ipv4.tcp_synack_retries y net.ipv4.tcp_syn_retries definen el número de intentos SYN.

Añade lo siguiente a /etc/sysctl.conf, y luego ejecuta "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Mejorar la conectividad TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint no tiene esta palabra clave

Usa iptables
Mandar:

# netstat -an | grep ":80" | ESTABLECIDA GREP


Veamos qué IPs son sospechosas~ Por ejemplo: 221.238.196.83 tiene muchas conexiones a esta IP y es muy sospechoso, y no quiero que vuelva a estar conectado a 221.238.196.81. Comandos disponibles:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Esto está mal


Creo que debería estar escrito así

iptables -A ENTRADA -s 221.238.196.83 -p tcp -j DROP




Descartar los paquetes desde 221.238.196.83.

Para ataques SYN FLOOD que forjan la dirección IP de origen. Este método es ineficaz


Otras referencias

Prevenir la inundación de sincronización

# iptables -A FORWARD -p tcp --syn -m límite --límite 1/s -j ACEPTAR

También hay personas que escriben

# iptables -A ENTRADA -p tcp --syn -m límite --límite 1/s -j ACEPTAR

--límite 1/s limita el número de concurrencias syn a 1 por segundo, lo cual puede modificarse según tus necesidades para evitar varios escaneos de puertos

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -límite --límite 1/s -j ACEPTAR

Ping de la Muerte

# iptables -A FORWARD -p icmp --icmp-tipo echo-request -m límite --límite 1/s -j ACEPTAR




BSD

Funcionamiento:

sysctl net.inet.tcp.msl=7500

Para que el reinicio funcione, puedes añadir la siguiente línea a /etc/sysctl.conf:

net.inet.tcp.msl=7500





Anterior:El espacio QQ ve
Próximo:Vídeo: Tailandia 2013 Divina Comedia "Quieres que tu corazón cambie tu número de teléfono"

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com