Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Andere technologieën Windows/Linux Linux heeft verschillende beveiligingsinstellingen om DDoS-aanvallen te voorkomen
Bekijken: 11726|Antwoord: 0

[Linux] Linux heeft verschillende beveiligingsinstellingen om DDoS-aanvallen te voorkomen

[Link kopiëren]
Geplaatst op 13-11-2014 18:03:02 | | |
Wijzig de sysctl-parameter
$ sudo sysctl -a | grep IPv4 | grep syn

De output is vergelijkbaar met de volgende:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies is of je de SYN COOKIES-functie moet inschakelen, "1" staat aan en "2" staat uit.
net.ipv4.tcp_max_syn_backlog is de lengte van de SYN-wachtrij, en het vergroten van de wachtrijlengte kan meer netwerkverbindingen mogelijk maken die wachten om te worden verbonden.
net.ipv4.tcp_synack_retries en net.ipv4.tcp_syn_retries bepalen het aantal SYN-herhalingen.

Voeg het volgende toe aan /etc/sysctl.conf, en voer dan "sysctl -p" uit!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Verbeter de TCP-connectiviteit

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint heeft dit trefwoord niet

Gebruik iptables
Bevelen:

# netstat -an | grep ":80" | GREP OPGERICHT


Laten we eens kijken welke IP's verdacht zijn~ Bijvoorbeeld: 221.238.196.83 heeft veel verbindingen met dit IP en is erg verdacht, en ik wil niet dat het opnieuw verbonden is met 221.238.196.81. Beschikbare commando's:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPTEREN

Dit is verkeerd


Ik vind dat het zo geschreven moet worden

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Gooi pakketjes weg van 221.238.196.83.

Voor SYN FLOOD-aanvallen die het bron-IP-adres vervalsen. Deze methode is niet effectief


Andere verwijzingen

Voorkom Sync Flood

# iptables -A FORWARD -p tcp --syn -m limiet --limiet 1/s -j ACCEPTEREN

Er zijn ook mensen die schrijven

# iptables -A INPUT -p tcp --syn -m limiet --limiet 1/s -j ACCEPTEREN

--limiet 1/s beperkt het aantal syn-concurrency tot 1 per seconde, wat aangepast kan worden naar eigen wensen om verschillende poortscanning te voorkomen

# iptables -A FORWARD -p tcp --tcp-vlaggen SYN,ACK,FIN,RST RST -m limiet --limiet 1/s -j ACCEPTEREN

Ping van de Dood

# iptables -A FORWARD -p icmp --icmp-type echo-verzoek -m limiet --limiet 1/s -j ACCEPTEREN




BSD

Werking:

sysctl net.inet.tcp.msl=7500

Om de herstart te laten werken, kun je de volgende regel toevoegen aan /etc/sysctl.conf:

net.inet.tcp.msl=7500





Vorig:QQ-ruimte ziet
Volgend:Video: Thailand 2013 Goddelijke Komedie "Wil dat je hart je telefoonnummer verandert"

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com