Tämä artikkeli on konekäännöksen peiliartikkeli, klikkaa tästä siirtyäksesi alkuperäiseen artikkeliin.

Architect_Programmer_Code Maatalousverkosto»Arkkitehti Muut teknologiat Windows/Linux Linuxissa on useita tietoturva-asetuksia DDoS-hyökkäysten estämiseksi
Näkymä: 11726|Vastaus: 0

[linux] Linuxissa on useita tietoturva-asetuksia DDoS-hyökkäysten estämiseksi

[Kopioi linkki]
Julkaistu 13.11.2014 18.03.02 | | |
Muokkaa sysctl-parametria
$ sudo sysctl -a | GREP IPv4 | grep synti

Lähtö on samankaltainen kuin seuraava:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies on, pitäisikö SYN COOKIES -toiminto kytkeä päälle, "1" on päällä, "2" pois päältä.
net.ipv4.tcp_max_syn_backlog on SYN-jonon pituus, ja jonon pituuden kasvattaminen voi mahdollistaa enemmän verkkoyhteyksiä, jotka odottavat yhdistämistä.
net.ipv4.tcp_synack_retries ja net.ipv4.tcp_syn_retries määrittelevät SYN-yritysten määrän.

Lisää seuraava tiedostoon /etc/sysctl.conf ja suorita sitten "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Paranna TCP-yhteyksiä

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 Hintissä ei ole tätä avainsanaa

Käytä iptablesia
Komento:

# netstat -an | grep ":80" | grep PERUSTETTU


Katsotaanpa, mitkä IP-osoitteet ovat epäilyttäviä~ Esimerkiksi: 221.238.196.83 on paljon yhteyksiä tähän IP-osoitteeseen ja on hyvin epäilyttävä, enkä halua sen olevan yhteydessä 221.238.196.81:een uudelleen. Saatavilla olevat komennot:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Tämä on väärin


Mielestäni se pitäisi kirjoittaa näin

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Heitä pois paketit numerosta 221.238.196.83.

SYN FLOOD -hyökkäyksissä, jotka väärentävät lähde-IP-osoitteen. Tämä menetelmä on tehoton


Muut lähteet

Estä synkronointi tulva

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j HYVÄKSY

On myös ihmisiä, jotka kirjoittavat

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s rajoita syn samanaikaisuuden määrän yhteen sekunnissa, jota voi muokata omien tarpeidesi mukaan estämään erilaiset porttiskannaukset

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j HYVÄKSY

Kuoleman ping

# iptables -A FORWARD -p icmp --icmp-tyyppinen kaikupyyntö -m limit --limit 1/s -j ACCEPT




BSD

Toiminta:

sysctl net.inet.tcp.msl=7500

Jotta uudelleenkäynnistys toimii, voit lisätä seuraavan rivin osoitteeseen /etc/sysctl.conf:

net.inet.tcp.msl=7500





Edellinen:QQ-avaruus näkee
Seuraava:Video: Thaimaa 2013 Divine Comedy "Want Your Heart to Change Your Phone Number"

Aiheeseen liittyvät julkaisut
Vastuuvapauslauseke:
Kaikki Code Farmer Networkin julkaisemat ohjelmistot, ohjelmamateriaalit tai artikkelit ovat tarkoitettu vain oppimis- ja tutkimustarkoituksiin; Yllä mainittua sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjät joutuvat kantamaan kaikki seuraukset. Tämän sivuston tiedot ovat peräisin internetistä, eikä tekijänoikeuskiistat liity tähän sivustoon. Sinun tulee poistaa yllä oleva sisältö kokonaan tietokoneeltasi 24 tunnin kuluessa lataamisesta. Jos pidät ohjelmasta, tue aitoa ohjelmistoa, osta rekisteröityminen ja hanki parempia aitoja palveluita. Jos rikkomuksia ilmenee, ota meihin yhteyttä sähköpostitse.
Mail To:help@itsvse.com