Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Altre tecnologie Windows/Linux Linux dispone di diverse impostazioni di sicurezza per prevenire attacchi DDoS
Vista: 11726|Risposta: 0

[Linux] Linux dispone di diverse impostazioni di sicurezza per prevenire attacchi DDoS

[Copiato link]
Pubblicato su 13/11/2014 18:03:02 | | |
Modifica il parametro sysctl
$ sudo sysctl -a | grep ipv4 | grep syn

L'output è simile al seguente:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies è se attivare la funzione SYN COOKIES, "1" è attiva, "2" è spento.
net.ipv4.tcp_max_syn_backlog è la lunghezza della coda SYN, e aumentare la lunghezza della coda può ospitare più connessioni di rete in attesa di essere connesse.
net.ipv4.tcp_synack_retries e net.ipv4.tcp_syn_retries definiscono il numero di tentativi SYN.

Aggiungi quanto segue a /etc/sysctl.conf, e poi esegui "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Migliorare la connettività TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint non ha questa parola chiave

Usa iptables
Comando:

# netstat -an | grep ":80" | GREP FONDATO


Vediamo quali IP sono sospetti~ Per esempio: 221.238.196.83 ha molte connessioni a questo IP ed è molto sospetto, e non voglio che venga connesso di nuovo a 221.238.196.81. Comandi disponibili:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Questo è sbagliato


Penso che dovrebbe essere scritto così

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Scartare i pacchetti da 221.238.196.83.

Per attacchi SYN FLOOD che falsificano l'indirizzo IP sorgente. Questo metodo è inefficace


Altri riferimenti

Prevenire il Sync Flood

# iptables -A FORWARD -p tcp --syn -m limite --limite 1/s -j ACCETTA

Ci sono anche persone che scrivono

# iptables -A INPUT -p tcp --syn -m limite --limite 1/s -j ACCETTA

--limita 1/s limita il numero di concorrenza syn a 1 al secondo, che può essere modificato in base alle tue esigenze per evitare varie scansioni di porte

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST limite --limite 1/s -j ACCETTA

Ping della Morte

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limite ---limite 1/s -j ACCETTA




BSD

Funzionamento:

sysctl net.inet.tcp.msl=7500

Affinché il riavvio funzioni, puoi aggiungere la seguente riga a /etc/sysctl.conf:

net.inet.tcp.msl=7500





Precedente:Lo spazio QQ vede
Prossimo:Video: Thailandia 2013 Divina Commedia "Vuoi che il tuo cuore cambi il tuo numero di telefono"

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com