一、默認(rèn)syn配置
sysctl -a | grep _syn net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog 是SYN隊(duì)列的長度,加大SYN隊(duì)列長度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)。愛掏網(wǎng) - it200.com tcp_syncookies是一個(gè)開關(guān),是否打開SYN Cookie 功能,該功能可以防止部分SYN攻擊。愛掏網(wǎng) - it200.com tcp_synack_retries和tcp_syn_retries定義SYN 的重試連接次數(shù),將默認(rèn)的參數(shù)減小來控制SYN連接次數(shù)的盡量少。愛掏網(wǎng) - it200.com
二、修改syn配置
ulimit -HSn 65535 sysctl -w net.ipv4.tcp_max_syn_backlog=2048 sysctl -w net.ipv4.tcp_syncookies=1 sysctl -w net.ipv4.tcp_synack_retries=2 sysctl -w net.ipv4.tcp_syn_retries=2
三、添加防火墻規(guī)則
#Syn 洪水攻擊(--limit 1/s 限制syn并發(fā)數(shù)每秒1次) iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT #防端口掃描 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #防洪水ping iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
四、添加開機(jī)啟動(dòng)
最后別忘記將二、三、里面的命令寫到/etc/rc.d/rc.local
以上就是腳本之家分享給大家的關(guān)于linux 防御SYN攻擊步驟詳解的全部內(nèi)容,希望對(duì)大家有所幫助。愛掏網(wǎng) - it200.com感興趣的朋友可以繼續(xù)參閱本站其他相關(guān)專題,如有不足之處,歡迎留言指出。愛掏網(wǎng) - it200.com感謝朋友們對(duì)本站的支持!
聲明:所有內(nèi)容來自互聯(lián)網(wǎng)搜索結(jié)果,不保證100%準(zhǔn)確性,僅供參考。如若本站內(nèi)容侵犯了原著者的合法權(quán)益,可聯(lián)系我們進(jìn)行處理。