Tento článok je zrkadlovým článkom o strojovom preklade, kliknite sem pre prechod na pôvodný článok.

Architect_Programmer_Code Poľnohospodárska sieť»Architekt Ďalšie technológie Windows/Linux Linux má niekoľko bezpečnostných nastavení na zabránenie DDoS útokom
Pohľad: 11726|Odpoveď: 0

[linux] Linux má niekoľko bezpečnostných nastavení na zabránenie DDoS útokom

[Kopírovať odkaz]
Zverejnené 13. 11. 2014 18:03:02 | | |
Upraviť sysctl parameter
$ sudo sysctl -a | Grep IPv4 | Grep syn

Výstup je podobný nasledovnému:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies je, či zapnúť funkciu SYN COOKIES, "1" je zapnutá, "2" vypnutá.
net.ipv4.tcp_max_syn_backlog je dĺžka SYN fronty a jej predĺženie umožňuje viac sieťových spojení čakajúcich na pripojenie.
net.ipv4.tcp_synack_retries a net.ipv4.tcp_syn_retries určujú počet SYN opakovaní.

Pridajte nasledujúce do /etc/sysctl.conf a potom vykonajte "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Zlepšenie TCP konektivity

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint nemá toto kľúčové slovo

Použite iptables
Príkaz:

# netstat -an | grep ":80" | GREP ZALOŽENÝ


Pozrime sa, ktoré IP adresy sú podozrivé~ Napríklad: 221.238.196.83 má veľa spojení s touto IP a je veľmi podozrivá, a nechcem, aby bola opäť pripojená k 221.238.196.81. Dostupné príkazy:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

To je nesprávne


Myslím, že by to malo byť napísané takto

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Zrušiť pakety z 221.238.196.83.

Pre SYN FLOOD útoky, ktoré falšujú zdrojovú IP adresu. Táto metóda je neúčinná


Ďalšie odkazy

Prevent Sync Flood

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Sú aj ľudia, ktorí píšu

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--obmedziť 1/s obmedziť počet syn súbežnosti na 1 za sekundu, čo môžete upraviť podľa vlastných potrieb, aby ste zabránili rôznemu skenovaniu portov

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping smrti

# iptables -A FORWARD -p icmp --icmp-typ echo-request -m limit --limit 1/s -j ACCEPT




BSD

Prevádzka:

sysctl net.inet.tcp.msl=7500

Aby reštart fungoval, môžete pridať nasledujúci riadok do /etc/sysctl.conf:

net.inet.tcp.msl=7500





Predchádzajúci:QQ priestor vidí
Budúci:Video: Thajská Božská komédia 2013 "Chceš, aby ti srdce zmenilo telefónne číslo"

Súvisiace príspevky
Vyhlásenie:
Všetok softvér, programovacie materiály alebo články publikované spoločnosťou Code Farmer Network slúžia len na vzdelávacie a výskumné účely; Vyššie uvedený obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesú všetky následky používateľmi. Informácie na tejto stránke pochádzajú z internetu a spory o autorské práva s touto stránkou nesúvisia. Musíte úplne vymazať vyššie uvedený obsah zo svojho počítača do 24 hodín od stiahnutia. Ak sa vám program páči, podporte originálny softvér, zakúpte si registráciu a získajte lepšie originálne služby. Ak dôjde k akémukoľvek porušeniu, kontaktujte nás prosím e-mailom.
Mail To:help@itsvse.com