Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Diğer Teknolojiler Windows/Linux Linux, DDoS saldırılarını önlemek için çeşitli güvenlik ayarlarına sahiptir
Görünüm: 11726|Yanıt: 0

[linux] Linux, DDoS saldırılarını önlemek için çeşitli güvenlik ayarlarına sahiptir

[Bağlantıyı kopyala]
Yayınlandı 13.11.2014 18:03:02 | | |
sysctl parametresini değiştirin
$ sudo sysctl -a | GREP IPv4 | grep syn

Çıkış aşağıdaki gibidir:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5



net.ipv4.tcp_syncookies SYN COOKIES fonksiyonunu açıp açmamalı, "1" açık mı yoksa "2" kapalı mı?
net.ipv4.tcp_max_syn_backlog, SYN kuyruğunun uzunluğudur ve kuyruk uzunluğunun artırılması, bağlanmayı bekleyen daha fazla ağ bağlantısını barındırabilir.
net.ipv4.tcp_synack_retries ve net.ipv4.tcp_syn_retries SYN deneme sayısını tanımlar.

Aşağıdakileri /etc/sysctl.conf sayfasına ekleyin ve ardından "sysctl -p" çalıştırın!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

TCP bağlantısını iyileştirin

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 hint bu anahtar kelimeye sahip değildir

iptables kullanın
Komut:

# netstat -an | grep ":80" | GREP KURULDU


Hangi IP'lerin şüpheli olduğuna bakalım~ Örneğin: 221.238.196.83 bu IP'ye çok fazla bağlantı taşıyor ve çok şüpheli, ayrıca tekrar 221.238.196.81 ile bağlantılı olmasını istemiyorum. Mevcut komutlar:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

Bu yanlış


Bence böyle yazılmalıyım

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP




221.238.196.83 numaralı paketleri at.

Kaynak IP adresini sahte eden SYN FLOOD saldırıları için. Bu yöntem etkisiz


Diğer kaynaklar

Senkronizasyon Taşkını Önlemek

# iptables -A İLERİ -p tcp --syn -m limit --limit 1/s -j KABUL EDİL

Yazan insanlar da var

# iptables -A GİRİD -p tcp --syn -m limit --limit 1/s -j KABUL EDİL

--limit 1/s, syn eşdeğerlik sayısını saniyede 1 ile sınır, bu da kendi ihtiyaçlarınıza göre değiştirilerek çeşitli port taramalarını önleyebilir

# iptables -A İLERİ -p tcp --tcp-bayraklar SYN,ACK,FIN,RST RST -m limit --limit 1/s -j KABUL EDİL

Ölüm Pingi

# iptables -A İLERİ -p icmp --icmp-tip echo-request -m limit --limit 1/s -j KABUL EDİL




BSD

Operasyon:

sysctl net.inet.tcp.msl=7500

Yeniden başlatmanın çalışması için /etc/sysctl.conf sayfasına aşağıdaki satırı ekleyebilirsiniz:

net.inet.tcp.msl=7500





Önceki:QQ uzayı görür
Önümüzdeki:Video: Tayland 2013 İlahi Komedi "Kalbinin Telefon Numaranı Değiştirmesini İsterin"

İlgili Yazılar
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com