See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Muud tehnoloogiad Windows/Linux Linuxil on mitu turvaseadet, mis takistavad DDoS-rünnakuid
Vaade: 11726|Vastuse: 0

[linux] Linuxil on mitu turvaseadet, mis takistavad DDoS-rünnakuid

[Kopeeri link]
Postitatud 13.11.2014 18:03:02 | | |
Muuda sysctl parameetrit
$ sudo sysctl -a | GREP IPv4 | grep syn

Väljund on sarnane järgmisele:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies on, kas lülitada sisse SYN COOKIES funktsioon, kas "1" on sees, "2" on väljas.
net.ipv4.tcp_max_syn_backlog on SYN-järjekorra pikkus ning järjekorra pikkuse suurendamine võimaldab rohkem võrguühendusi, mis ootavad ühendamist.
net.ipv4.tcp_synack_retries ja net.ipv4.tcp_syn_retries määravad SYN korduste arvu.

Lisa järgmine faili /etc/sysctl.conf ja seejärel käivita "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

TCP ühenduvuse parandamine

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 vihje ei sisalda seda märksõna

Kasuta iptables
Käsk:

# Netstat -an | grep ":80" | grep ASUTATUD


Vaatame, millised IP-d on kahtlased~ Näiteks: 221.238.196.83 on selle IP-ga palju ühendusi ja on väga kahtlane, ning ma ei taha, et see oleks uuesti ühendatud 221.238.196.81-ga. Saadaval olevad käsud:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

See on vale


Ma arvan, et see peaks olema nii kirjutatud

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Viska ära paketid numbrist 221.238.196.83.

SYN FLOOD rünnakute puhul, mis võltsivad lähte-IP-aadressi. See meetod on ebaefektiivne


Muud viited

Väldi sünkroonimise üleujutust

# iptables -A EDASI -p tcp --syn -m piir --piir 1/s -j AKTSEPTEERI

On ka inimesi, kes kirjutavad

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--piirang 1/s piirab sünteeni samaaegsuse arvu 1-le sekundis, mida saab vastavalt oma vajadustele muuta, et vältida erinevaid pordide skaneerimist

# iptables -A EDASI -p tcp --tcp-lipud SYN,ACK,FIN,RST RST -m piir --piirang 1/s -j NÕUSTU

Surmaping

# iptables -A EDASI -p icmp --icmp-tüüpi kaja-päringu -m piirang --piirang 1/s -j NÕUSTU




BSD

Töö:

sysctl net.inet.tcp.msl=7500

Et taaskäivitamine toimiks, võid lisada järgmise rea /etc/sysctl.conf lehele:

net.inet.tcp.msl=7500





Eelmine:QQ-ruum näeb
Järgmine:Video: Tai 2013 jumalik komöödia "Soovi, et su süda muudaks oma telefoninumbrit"

Seotud postitused
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com