Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Alte tehnologii Windows/Linux Linux are mai multe setări de securitate pentru a preveni atacurile DDoS
Vedere: 11726|Răspunde: 0

[Linux] Linux are mai multe setări de securitate pentru a preveni atacurile DDoS

[Copiază linkul]
Postat pe 13.11.2014 18:03:02 | | |
Modificarea parametrului sysctl
$ sudo sysctl -a | grep ipv4 | grep syn

Rezultatul este similar cu următorul:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies este dacă să activezi funcția SYN COOKIES, "1" este activat, "2" este oprit.
net.ipv4.tcp_max_syn_backlog este lungimea cozii SYN, iar creșterea lungimii cozii poate permite mai multe conexiuni de rețea care așteaptă să fie conectate.
net.ipv4.tcp_synack_retries și net.ipv4.tcp_syn_retries definesc numărul de încercări SYN.

Adaugă următorul text la /etc/sysctl.conf, apoi execută "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Îmbunătățirea conectivității TCP

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 indiciu nu are acest cuvânt-cheie

Folosește iptables
Comanda:

# netstat -an | grep ":80" | grep ÎNFIINȚAT


Să vedem care IP-uri sunt suspecte~ De exemplu: 221.238.196.83 are multe conexiuni către acest IP și este foarte suspect, iar eu nu vreau să fie conectat din nou la 221.238.196.81. Comenzi disponibile:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Asta e greșit


Cred că ar trebui să fie scris așa

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Elimină pachetele de la 221.238.196.83.

Pentru atacuri SYN FLOOD care falsifică adresa IP sursă. Această metodă este ineficientă


Alte referințe

Prevenirea inundației de sincronizare

# iptables -A ÎNAINTE -p tcp --sin, -m limită --limită 1/s -j ACCEPT

Există și persoane care scriu

# iptables -A INPUT -p tcp --syn -m limită --limită 1/s -j ACCEPT

--limitează 1/s limitează numărul de concurențe syn la 1 pe secundă, care poate fi modificat în funcție de nevoile tale pentru a preveni diverse scanări de porturi

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -limit --limit 1/s -j ACCEPT

Pingul Morții

# iptables -A ÎNAINTE -p icmp --cerere de tip ecou -m limită --limită 1/s -j ACCEPT




BSD

Operațiune:

sysctl net.inet.tcp.msl=7500

Pentru ca repornirea să funcționeze, poți adăuga următoarea linie pe /etc/sysctl.conf:

net.inet.tcp.msl=7500





Precedent:Spațiul QQ vede
Următor:Video: Thailanda 2013 Divina Comedie "Vrei ca inima ta să-ți schimbe numărul de telefon"

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com