Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Outras Tecnologias Windows/Linux O Linux possui várias configurações de segurança para prevenir ataques DDoS
Vista: 11726|Resposta: 0

[Linux] O Linux possui várias configurações de segurança para prevenir ataques DDoS

[Copiar link]
Publicado em 13/11/2014 18:03:02 | | |
Modificar o parâmetro sysctl
$ sudo sysctl -a | grep ipv4 | grep syn

A saída é semelhante à seguinte:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies é se deve ativar a função SYN COOKIES, "1" está ativado, "2" está desligado.
net.ipv4.tcp_max_syn_backlog é o comprimento da fila SYN, e aumentar o comprimento da fila pode acomodar mais conexões de rede esperando para serem conectadas.
net.ipv4.tcp_synack_retries e net.ipv4.tcp_syn_retries definem o número de tentativas SYN.

Adicione o seguinte em /etc/sysctl.conf e então execute "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Melhorar a conectividade TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 dica não tem essa palavra-chave

Use iptables
Comando:

# netstat -an | grep ":80" | GREP ESTABELECIDO


Vamos ver quais IPs são suspeitos~ Por exemplo: 221.238.196.83 tem muitas conexões com esse IP e é muito suspeito, e não quero que ele esteja conectado novamente ao 221.238.196.81. Comandos disponíveis:

iptables -A ENTRADA -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Isso está errado


Acho que deveria ser escrito assim

iptables -A ENTRADA -s 221.238.196.83 -p tcp -j DROP




Descarte pacotes a partir de 221.238.196.83.

Para ataques SYN FLOOD que forjam o endereço IP de origem. Esse método é ineficaz


Outras referências

Prevenir Enxurrada de Sincronização

# iptables -A FORWARD -p tcp --syn -m limite --limite 1/s -j ACEITAR

Também existem pessoas que escrevem

# iptables -A ENTRADA -p tcp --syn -m limite --limite 1/s -j ACEITAR

--limite 1/s limita o número de concorrências syn a 1 por segundo, o que pode ser modificado conforme suas próprias necessidades para evitar várias varreduras de portas

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -limite --limite 1/s -j ACEITAR

Ping da Morte

# iptables -A FORWARD -p icmp --tipo icmp-tipo echo-request -m limite --limite 1/s -j ACEITAR




BSD

Operação:

sysctl net.inet.tcp.msl=7500

Para que o reinício funcione, você pode adicionar a seguinte linha em /etc/sysctl.conf:

net.inet.tcp.msl=7500





Anterior:O espaço QQ vê
Próximo:Vídeo: Tailândia 2013 Divina Comédia "Quero que seu Coração Mude Seu Número de Telefone"

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com