Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Windows/Linux Linux memiliki beberapa pengaturan keamanan untuk mencegah serangan DDoS
Melihat: 11726|Jawab: 0

[linux] Linux memiliki beberapa pengaturan keamanan untuk mencegah serangan DDoS

[Salin tautan]
Diposting pada 13/11/2014 18.03.02 | | |
Mengubah parameter sysctl
$ sudo sysctl -a | grep IPv4 | grep syn

Outputnya mirip dengan yang berikut ini:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies adalah apakah akan mengaktifkan fungsi SYN COOKIES, "1" aktif, "2" mati.
net.ipv4.tcp_max_syn_backlog adalah panjang antrean SYN, dan meningkatkan panjang antrean dapat mengakomodasi lebih banyak koneksi jaringan yang menunggu untuk dihubungkan.
net.ipv4.tcp_synack_retries dan net.ipv4.tcp_syn_retries menentukan jumlah percobaan SYN.

Tambahkan yang berikut ini ke /etc/sysctl.conf, lalu jalankan "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Tingkatkan konektivitas TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos petunjuk 5.4 tidak memiliki kata kunci ini

Gunakan iptables
Perintah:

# netstat -an | grep ":80" | grep DIDIRIKAN


Mari kita lihat IP mana yang mencurigakan~ Misalnya: 221.238.196.83 memiliki banyak koneksi ke IP ini dan sangat mencurigakan, dan saya tidak ingin terhubung ke 221.238.196.81 lagi. Perintah tersedia:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j TERIMA

Ini salah


Saya pikir itu harus ditulis seperti ini

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Buang paket dari 221.238.196.83.

Untuk serangan SYN FLOOD yang memalsukan alamat IP sumber. Metode ini tidak efektif


Referensi lainnya

Cegah Banjir Sinkronisasi

# iptables -A MAJU -p tcp --syn -m limit --limit 1/s -j ACCEPT

Ada juga orang yang menulis

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s membatasi jumlah konkurensi syn menjadi 1 per detik, yang dapat dimodifikasi sesuai dengan kebutuhan Anda sendiri untuk mencegah berbagai pemindaian port

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping Kematian

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




BSD

Operasi:

sysctl net.inet.tcp.msl=7500

Agar restart berfungsi, Anda dapat menambahkan baris berikut ke /etc/sysctl.conf:

net.inet.tcp.msl=7500





Mantan:Ruang QQ melihat
Depan:Video: Komedi Ilahi Thailand 2013 "Ingin Hatimu Mengubah Nomor Telepon Anda"

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com