Linux系統下的DDOS攻擊防範

squid主要是利用其埠對映的功能，可以將80埠轉換一下，其實一般的ddos攻擊可以修改/proc/sys/net/ipv4 /tcp_max_syn_backlog裡的引數就行了，預設引數一般都很小，設為8000以上，一般的ddos攻擊就可以解決了。如果上公升到 timeout階段，可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。

大家都在討論ddos，個人認為目前沒有真正解決的方法，只是在緩衝和防禦能力上的擴充，跟黑客玩乙個心理戰術，看誰堅持到最後，網上也有很多做法，例如syncookies等，就是複雜點。

sysctl -w net.ipv4.icmp_echo_ignore_all=1

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

sysctl -w net.ipv4.tcp_max_syn_backlog=」2048″

sysctl -w net.ipv4.tcp_synack_retries=」3″

iptables -a input -i eth0 -p tcp –syn -j syn-flood

# limit 12 connections per second (burst to 24)

iptables -a syn-flood -m limit –limit 12/s –limit-burst 24 -j return

可以試著該該：

iptbales -a forward -p tcp –syn -m limit –limit 1/s -j accept

虛擬主機服務商在運營過程中可能會受到黑客攻擊，常見的攻擊方式有syn，ddos等。

通過更換ip，查詢被攻擊的站點可能避開攻擊，但是中斷服務的時間比較長。比較徹底的解決方法是添置硬體防火牆。不過，硬體防火牆**比較昂貴。可以考慮利用linux系統本身提供的防火牆功能來防禦。

1. 抵禦syn

syn攻擊是利用tcp/ip協議3次握手的原理，傳送大量的建立連線的網路包，但不實際建立連線，最終導致被攻擊伺服器的網路佇列被佔滿，無法被正常使用者訪問。

linux核心提供了若干syn相關的配置，用命令：

sysctl -a | grep syn

看到：

net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog是syn佇列的長度，tcp_syncookies是乙個開關，是否開啟syn cookie

功能，該功能可以防止部分syn攻擊。tcp_synack_retries和tcp_syn_retries定義syn的重試次數。

加大syn佇列長度可以容納更多等待連線的網路連線數，開啟syn cookie功能可以阻止部分syn攻擊，降低重試次數也有一定效果。

調整上述設定的方法是：

增加syn佇列長度到2048：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

開啟syn cookie功能：

sysctl -w net.ipv4.tcp_syncookies=1

降低重試次數：

sysctl -w net.ipv4.tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

為了系統重啟動時保持上述配置，可將上述命令加入到/etc/rc.d/rc.local檔案中

Linux系統下的DDOS攻擊防範

Linux系統下的DDOS 防範

DDos攻擊 DDos攻擊的本質及攻擊方式

ddos攻擊工具簡單有效的ddos攻擊防禦方法

Linux系統下的DDOS攻擊防範

Linux系統下的DDOS 防範

DDos攻擊 DDos攻擊的本質及攻擊方式

ddos攻擊工具 簡單有效的ddos攻擊防禦方法

相關推薦

ddos攻擊工具簡單有效的ddos攻擊防禦方法