Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Citas tehnoloģijas Windows / Linux Linux ir vairāki drošības iestatījumi, lai novērstu DDoS uzbrukumus
Skats: 11726|Atbildi: 0

[Linux] Linux ir vairāki drošības iestatījumi, lai novērstu DDoS uzbrukumus

[Kopēt saiti]
Publicēts 13.11.2014 18:03:02 | | |
Modificējiet parametru sysctl
$ sudo sysctl -a | GREP IPv4 | Greps Syn

Izeja ir līdzīga šai:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies ir tas, vai ieslēgt funkciju SYN COOKIES, "1" ir ieslēgts, "2" ir izslēgts.
net.ipv4.tcp_max_syn_backlog ir SYN rindas garums, un, palielinot rindas garumu, var uzņemt vairāk tīkla savienojumu, kas gaida savienojumu.
net.ipv4.tcp_synack_retries un net.ipv4.tcp_syn_retries definē SYN mēģinājumu skaitu.

Pievienojiet tālāk norādīto /etc/sysctl.conf un pēc tam izpildiet "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

TCP savienojamības uzlabošana

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 mājienam nav šī atslēgvārda

Izmantojiet iptables
Pavēlēt:

# netstat -an | grep ":80" | grep IZVEIDOTS


Redzēsim, kuri IP ir aizdomīgi ~ Piemēram: 221.238.196.83 ir daudz savienojumu ar šo IP un tas ir ļoti aizdomīgs, un es nevēlos, lai tas atkal tiktu savienots ar 221.238.196.81. Pieejamās komandas:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Tas ir nepareizi


Es domāju, ka tas būtu jāraksta šādi

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Izmetiet paciņas no 221.238.196.83.

SYN FLOOD uzbrukumiem, kas vilto avota IP adresi. Šī metode ir neefektīva


Citas atsauces

Novērst sinhronizācijas plūdus

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Ir arī cilvēki, kas raksta

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s ierobežojiet syn vienlaicīguma skaitu līdz 1 sekundē, ko var mainīt atbilstoši savām vajadzībām, lai novērstu dažādu portu skenēšanu

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Nāves ping

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




BSD

Darbība:

sysctl net.inet.tcp.msl=7500

Lai restartēšana darbotos, varat pievienot šādu rindu /etc/sysctl.conf:

net.inet.tcp.msl=7500





Iepriekšējo:QQ telpa redz
Nākamo:Video: Taizeme 2013 Dievišķā komēdija "Vēlies, lai tava sirds mainītu savu tālruņa numuru"

Saistītās ziņas
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com