Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Autres technologies Windows/Linux Linux dispose de plusieurs réglages de sécurité pour prévenir les attaques DDoS
Vue: 11726|Répondre: 0

[Linux] Linux dispose de plusieurs réglages de sécurité pour prévenir les attaques DDoS

[Copié le lien]
Publié sur 13/11/2014 18:03:02 | | |
Modifier le paramètre sysctl
$ sudo sysctl -a | grep ipv4 | grep syn

La sortie est similaire à la suivante :

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies est de savoir s’il faut activer la fonction SYN COOKIES, « 1 » est activé, « 2 » est désactivé.
net.ipv4.tcp_max_syn_backlog est la longueur de la file SYN, et augmenter la longueur de la file peut accueillir davantage de connexions réseau en attente d’être connectées.
net.ipv4.tcp_synack_retries et net.ipv4.tcp_syn_retries définissent le nombre de tentatives SYN.

Ajoutez ce qui suit à /etc/sysctl.conf, puis exécutez « sysctl -p » !

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Améliorer la connectivité TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 indice ne contient pas ce mot-clé

Utilisez iptables
Commander:

# netstat -an | grep « :80 » | GREP ÉTABLI


Voyons quelles IP sont suspectes~ Par exemple : 221.238.196.83 a beaucoup de connexions à cette IP et est très suspecte, et je ne veux pas qu’elle soit connectée à 221.238.196.81 à nouveau. Commandes disponibles :

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

C’est faux


Je pense que ça devrait être écrit comme ça

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Jetez les paquets à partir du 221.238.196.83.

Pour les attaques SYN FLOOD qui forgent l’adresse IP source. Cette méthode est inefficace


Autres références

Prévenir l’inondation de synchronisation

# iptables -A FORWARD -p tcp --syn -m limite --limite 1/s -j ACCEPT

Il y a aussi des personnes qui écrivent

# iptables -A ENTRÉE -p tcp --syn -m limite --limite 1/s -j ACCEPTER

--limite 1/s limite le nombre de concurrents syn à 1 par seconde, ce qui peut être modifié selon vos propres besoins pour éviter divers scans de ports

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limite --limite 1/s -j ACCEPTER

Ping de la Mort

# iptables -A FORWARD -p icmp --type icmp-request d’écho -m limite --limite 1/s -j ACCEPTER




BSD

Fonctionnement :

sysctl net.inet.tcp.msl=7500

Pour que le redémarrage fonctionne, vous pouvez ajouter la ligne suivante à /etc/sysctl.conf :

net.inet.tcp.msl=7500





Précédent:L’espace QQ voit
Prochain:Vidéo : Thaïlande 2013 Divine Comédie « Voulez que votre cœur change votre numéro de téléphone »

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com