Linux 反DDOS的几个设置

社区服务
高级搜索
猴岛论坛电脑百科Linux 反DDOS的几个设置
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
3个回复

Linux 反DDOS的几个设置

楼层直达
宠虫梁梁

ZxID:17930208

等级: 上等兵
举报 只看楼主 使用道具 楼主   发表于: 2014-07-27 0

对sysctl参数进行修改

$ sudo sysctl -a  | grep ipv4 | grep syn
输出类似下面:

net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5


net.ipv4.tcp_syncookies是是否打开SYN COOKIES的功能,“1”为打开,“2”关闭。
net.ipv4.tcp_max_syn_backlog是SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries是定义SYN重试次数。

把如下加入到/etc/sysctl.conf即可,之后执行“sysctl -p”!

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
提高TCP连接能力

net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0   #我的Centos 5.4 提示没有这个关键字
使用iptables

命令:

# netstat -an | grep ":80" | grep ESTABLISHED

来查看哪些IP可疑~比如:221.238.196.83这个ip连接较多,并很可疑,并不希望它再次与221.238.196.81有连接。可使用命令:

iptables -A INPUT -s 221.238.196.81 -p tcp -d 221.238.196.83 --dport 25 --syn -j ACCEPT

这是错的  

我认为应该这样写

iptables -A INPUT -s 221.238.196.83 -p tcp -j DROP


将来自221.238.196.83的包丢弃.

对于伪造源IP地址的SYN FLOOD攻击。该方法无效

其他参考

防止同步包洪水(Sync Flood)

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作

# iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


BSD

运行:

sysctl net.inet.tcp.msl=7500
为了重启有效,可以将下面折行加入 /etc/sysctl.conf:

net.inet.tcp.msl=7500
宝宝赵小猴

ZxID:9259202

等级: 禁止发言
举报 只看该作者 地板   发表于: 2014-07-28 0
我继续顶你!太好的帖子了 支持
vinsdaisy

ZxID:23533952

等级: 上等兵
举报 只看该作者 板凳   发表于: 2014-07-28 0
值得学习 谢谢提供,继续努力啊
}
2014

ZxID:21900290

等级: 元老
     ๑热心会员๑      ๑值得拥有๑

举报 只看该作者 沙发   发表于: 2014-07-27 0
Linux
引用
« 返回列表
发帖 回复