这篇文章是linux如何防止DDOS攻击,欢迎大家阅读参考。


1。抵御SYN


SYN攻击是基于TCP/IP协议的3次握手原理的。它发送大量的网络包来建立连接,但实际上并没有建立连接。最终,被攻击服务器的网络队列被占用,无法正常用户访问。


Linux内核使用命令提供了一些与SYN相关的配置:


sysctl - grep SYN |


看到:


net.ipv4.tcp_max_syn_backlog = 1024


net.ipv4.tcp_syncookies = 0


net.ipv4.tcp_synack_retries = 5


net.ipv4.tcp_syn_retries = 5


tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie


的功能,可以防止一些SYN和SYN attacks.tcp_synack_retries tcp_syn_retries定义


再审次数。


增加SYN队列长度可以容纳更多的网络连接等待连接,并且打开SYN cookie函数可以防止部分。


SYN攻击,减少重试次数也有一定效果。


调整上述设置的方法是:


将SYN队列的长度增加到2048:


sysctl - W网。IPv4。tcp_max_syn_backlog = 2048


打开SYN cookie函数:


sysctl - W网。IPv4。tcp_syncookies = 1


减少再审次数:


sysctl - W网。IPv4。tcp_synack_retries = 3


sysctl - W网。IPv4。tcp_syn_retries = 3


为了在重新启动系统时维护上述配置,可以将上述命令添加到


Linux禁止平


根进入Linux系统,和编辑文件icmp_echo_ignore_all


VI /过程/系统/网 / / icmp_echo_ignore_all IPv4


将其值更改为1以禁止ping


将其值更改为0以禁用ping


使用iptables禁止平:


-输入p - ICMP - M - ICMP - ICMP类型- 8 - m限制-限制6分钟-限制突发2


-输入- ICMP - ICMP - ICMP - ICMP - 8 - J拒绝-拒绝与ICMP端口不可到达