Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Inne technologie Windows/Linux Linux ma kilka ustawień bezpieczeństwa zapobiegających atakom DDoS
Widok: 11726|Odpowiedź: 0

[linux] Linux ma kilka ustawień bezpieczeństwa zapobiegających atakom DDoS

[Skopiuj link]
Opublikowano 13.11.2014 18:03:02 | | |
Modyfikacja parametru sysctl
$ sudo sysctl -a | grep IPv4 | Grep syn

Wyniki są podobne do następujących:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies to, czy włączyć funkcję SYN COOKIES, "1" jest włączone, "2" wyłączone.
net.ipv4.tcp_max_syn_backlog to długość kolejki SYN, a jej wydłużenie pozwala na zwiększenie liczby połączeń sieciowych oczekujących na połączenie.
net.ipv4.tcp_synack_retries i net.ipv4.tcp_syn_retries definiują liczbę powtórzeń SYN.

Dodaj następujące do /etc/sysctl.conf, a następnie wykonaj "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Poprawa łączności TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint nie zawiera tego słowa kluczowego

Użyj iptables
Polecenie:

# netstat -an | grep ":80" | grep ZAŁOŻONY


Zobaczmy, które adresy IP są podejrzane~ Na przykład: 221.238.196.83 ma wiele połączeń z tym IP i jest bardzo podejrzane, a nie chcę, żeby ponownie było połączone z 221.238.196.81. Dostępne komendy:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

To jest złe


Myślę, że powinno to być napisane tak

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Pakiety odrzucenia z 221.238.196.83.

Dla ataków SYN FLOOD, które fałszują źródłowy adres IP. Ta metoda jest nieskuteczna


Inne odniesienia

Zapobieganie synchronizacji

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Są też osoby, które piszą

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--ogranicz liczbę synchronizacji syn do 1 na sekundę, co można dostosować do własnych potrzeb, aby zapobiec skanowaniu różnych portów

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping śmierci

# iptables -A FORWARD -p icmp --icmp-typ echo-request -m limit --limit 1/s -j ACCEPT




BSD

Działanie:

sysctl net.inet.tcp.msl=7500

Aby restart działał, możesz dodać następującą linię do /etc/sysctl.conf:

net.inet.tcp.msl=7500





Poprzedni:Przestrzeń QQ widzi
Następny:Wideo: Tajlandia 2013 Boska Komedia "Chcę, by twoje serce zmieniło numer telefonu"

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com