Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Windows/Linux Linux har flera säkerhetsinställningar för att förhindra DDoS-attacker
Utsikt: 11726|Svar: 0

[Linux] Linux har flera säkerhetsinställningar för att förhindra DDoS-attacker

[Kopiera länk]
Publicerad på 2014-11-13 18:03:02 | | |
Modifiera sysctl-parametern
$ sudo sysctl -a | grep IPv4 | grep syn

Resultatet liknar följande:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies är om man ska slå på SYN COOKIES-funktionen, "1" är på, "2" är avstängt.
net.ipv4.tcp_max_syn_backlog är längden på SYN-kön, och att öka kölängden kan rymma fler nätverksanslutningar som väntar på att kopplas in.
net.ipv4.tcp_synack_retries och net.ipv4.tcp_syn_retries definierar antalet SYN-försök.

Lägg till följande i /etc/sysctl.conf, och kör sedan "sysctl -p"!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

Förbättra TCP-anslutningen

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint har inte detta nyckelord

Använd iptables
Befallning:

# netstat -an | grep ":80" | GREP GRUNDAT


Låt oss se vilka IP-adresser som är misstänkta~ Till exempel: 221.238.196.83 har många anslutningar till denna IP och är mycket misstänkt, och jag vill inte att den ska vara kopplad till 221.238.196.81 igen. Tillgängliga kommandon:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPTERA

Det här är fel


Jag tycker att det borde skrivas så här

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




Kasta paket från 221.238.196.83.

För SYN FLOOD-attacker som stjälker käll-IP-adressen. Denna metod är ineffektiv


Andra referenser

Förhindra Sync Flood

# iptables -A FRAMÅT -p tcp --syn -m gräns --gräns 1/s -j ACCEPTERA

Det finns också personer som skriver

# iptables -A INPUT -p tcp --syn -m gräns --gräns 1/s -j ACCEPTERA

--begränsa 1/s begränsa antalet syn-samtidighet till 1 per sekund, vilket kan ändras efter dina egna behov för att förhindra olika portskanningar

# iptables -A FORWARD -p tcp --tcp-flaggor SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPTERA

Dödens ping

# iptables -A FORWARD -p icmp --icmp-typ ekoförfrågan -m gräns --gräns 1/s -j ACCEPTERA




BSD

Drift:

sysctl net.inet.tcp.msl=7500

För att omstarten ska fungera kan du lägga till följande rad i /etc/sysctl.conf:

net.inet.tcp.msl=7500





Föregående:QQ-rum ser
Nästa:Video: Thailand 2013 Divine Comedy "Vill att ditt hjärta ska byta telefonnummer"

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com