Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Andre teknologier Windows/Linux Linux har flere sikkerhetsinnstillinger for å forhindre DDoS-angrep
Utsikt: 11726|Svare: 0

[Linux] Linux har flere sikkerhetsinnstillinger for å forhindre DDoS-angrep

[Kopier lenke]
Publisert på 13.11.2014 18:03:02 | | |
Modifiser sysctl-parameteren
$ sudo sysctl -a | grep IPv4 | grep syn

Utgangen ligner på følgende:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies er om man skal slå på SYN COOKIES-funksjonen, "1" er på, "2" er av.
net.ipv4.tcp_max_syn_backlog er lengden på SYN-køen, og økt kølengde kan imøtekomme flere nettverkstilkoblinger som venter på å bli koblet til.
net.ipv4.tcp_synack_retries og net.ipv4.tcp_syn_retries definerer antall SYN-forsøk.

Legg til følgende i /etc/sysctl.conf, og kjør deretter "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Forbedre TCP-tilkoblingen

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint har ikke dette nøkkelordet

Bruk iptables
Kommando:

# netstat -an | grep ":80" | GREP ETABLERT


La oss se hvilke IP-adresser som er mistenkelige~ For eksempel: 221.238.196.83 har mange tilkoblinger til denne IP-en og er veldig mistenkelig, og jeg vil ikke at den skal være koblet til 221.238.196.81 igjen. Tilgjengelige kommandoer:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j AKSEPTER

Dette er feil


Jeg synes det burde skrives slik

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Kast pakker fra 221.238.196.83.

For SYN FLOOD-angrep som forfalsker kilde-IP-adressen. Denne metoden er ineffektiv


Andre referanser

Forhindre synkroniseringsflom

# iptables -A FORWARD -p tcp --syn -m grense --limit 1/s -j AKSEPTER

Det finnes også folk som skriver

# iptables -A INPUT -p tcp --syn -m grense --limit 1/s -j AKSEPTER

--grense 1/s begrenser antall syn-samtidighet til 1 per sekund, noe som kan tilpasses etter dine egne behov for å forhindre ulike portskanninger

# iptables -A FORWARD -p tcp --tcp-flagg SYN,ACK,FIN,RST RST -m grense --limit 1/s -j AKSEPTER

Dødens ping

# iptables -A FORWARD -p icmp --icmp-type ekkoforespørsel -m grense --grense 1/s -j AKSEPTER




BSD

Drift:

sysctl net.inet.tcp.msl=7500

For at omstarten skal fungere, kan du legge til følgende linje i /etc/sysctl.conf:

net.inet.tcp.msl=7500





Foregående:QQ-rom ser
Neste:Video: Thailand 2013 Guddommelig Komedie "Vil at hjertet ditt skal bytte telefonnummer"

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com