Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Egyéb technológiák Windows/Linux A Linux több biztonsági beállítást is tartalmaz a DDoS támadások megelőzésére
Nézet: 11726|Válasz: 0

[linux] A Linux több biztonsági beállítást is tartalmaz a DDoS támadások megelőzésére

[Linket másol]
Közzétéve 2014. 11. 13. 18:03:02 | | |
Módosítsa a sysctl paramétert
$ sudo sysctl -a | GREP IPv4 | Grep Syn

A kimenet hasonló a következőkhöz:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies az, hogy be kell kapcsolni a SYN COOKIES funkciót, az "1" bekapcsolva, "2" ki van kapcsolva.
net.ipv4.tcp_max_syn_backlog a SYN sor hossza, és a sor hosszának növelése több hálózati kapcsolatot biztosíthat, amelyek csatlakozásra várnak.
net.ipv4.tcp_synack_retries és net.ipv4.tcp_syn_retries határozzák meg a SYN újrajátszások számát.

Add hozzá a következőt az /etc/sysctl.conf mappába, majd hajtsd végre a "sysctl -p"-t!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Javítsa a TCP kapcsolódást

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint nem tartalmazza ezt a kulcsszót

Használd az iptables
Parancs:

# netstat -an | grep ":80" | GREP MEGALAPÍTVA


Nézzük meg, mely IP-k gyanúsak~ Például: a 221.238.196.83 sok kapcsolatot mutat ezzel az IP-vel és nagyon gyanús, és nem szeretném, ha újra csatlakoznának a 221.238.196.81-hez. Elérhető parancsok:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Ez helytelen


Szerintem így kellene megírni

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Dobd el a 221.238.196.83-as csomagokat.

SYN FLOOD támadásokhoz, amelyek hamisítják a forrás IP-címet. Ez a módszer hatástalan


Egyéb hivatkozások

Szinkron árvíz megelőzése

# iptables -A ELŐRE -p tcp --syn -m limit --limit 1/s -j ELFOGADNI

Vannak olyan emberek is, akik írnak

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s korlátozza a szint egyidejű számát másodpercenként 1-re, amit a saját igényeid szerint módosíthatsz, hogy elkerüld a különböző portszkennelést

# iptables -A ELŐRE -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Halál pingje

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




BSD

Működés:

sysctl net.inet.tcp.msl=7500

Ahhoz, hogy az újraindítás működjön, hozzáadhatod a következő sort az /etc/sysctl.conf címre:

net.inet.tcp.msl=7500





Előző:QQ tér lát
Következő:Videó: Thaiföld 2013 Isteni vígjáték "Azt akarod, hogy a szíved változtassa meg a telefonszámodat"

Kapcsolódó bejegyzések
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com