LinuxにはDDoS攻撃を防ぐための複数のセキュリティ設定があります

管理者 · 掲載地 2014/11/13 18:03:02

sysctlパラメータを修正します
$ sudo sysctl -a | グレップ IPv4 | グレップ・シン

出力は以下の通りです:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

net.ipv4.tcp_syncookies SYN COOKIES機能をオンにするか、「1」はオン、「2」はオフかどうかです。
net.ipv4.tcp_max_syn_backlogはSYNキューの長さであり、キュー長を伸ばすことで接続待ちのネットワーク接続を増やせます。
net.ipv4.tcp_synack_retriesとnet.ipv4.tcp_syn_retriesはSYNの再試行回数を定義します。

/etc/sysctl.confに以下を追加し、「sysctl -p」を実行します!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

TCP接続性の向上

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 ヒントにはこのキーワードはありません

iptablesの使用
命令：

# ネットスタット -an | グレップ「:80」 | GREPが設立

どのIPが怪しいか見てみましょう~例えば、221.238.196.83はこのIPに多くの接続があり非常に怪しいので、221.238.196.81に接続されたくありません。利用可能なコマンド:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

これは間違っている

こう書くべきだと思います

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP

221.238.196.83からのパケットを破棄。

SYN FLOOD攻撃で送信元のIPアドレスを偽造する場合。この方法は効果的ではありません

その他の言及

同期フラッドの防止

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

書く人もいます

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--制限:同時間同時進行回数を1秒あたり1回に制限し、必要に応じて変更して様々なポートスキャンを防ぐことができます

# iptables -A FORWARD -p tcp --tcp-tcp-flags SYN, ACK, FIN, RST RST -M LIMIT --LIMIT 1/s -j ACCEPT

死の音

# iptables -A FORWARD -p icmp --icmp タイプのエコーリクエスト -m limit --limit 1/s -j ACCEPT

BSD

作戦:

sysctl net.inet.tcp.msl=7500

再起動を成功させるために、/etc/sysctl.confに以下の行を追加できます:

net.inet.tcp.msl=7500

[Linux] LinuxにはDDoS攻撃を防ぐための複数のセキュリティ設定があります

関連記事

閲覧したセクション