1樓:匿名使用者
用squid是利用埠對映的功能,可以將80埠轉換一下,其實一般的ddos攻擊可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog裡的引數就行了,預設引數一般都很小,設為8000以上,一般的ddos攻擊就可以解決了。如果上升到timeout階段,可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。
大家都在討論ddos,個人認為目前沒有真正解決的方法,只是在緩衝和防禦能力上的擴充,跟黑客玩一個心理戰術,看誰堅持到最後,網上也有很多做法,例如syncookies等,就是複雜點。
sysctl -w net.ipv4.icmp_echo_ignore_all=1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
sysctl -w net.ipv4.tcp_synack_retries="3"
iptables -a input -i eth0 -p tcp --syn -j syn-flood
# limit 12 connections per second (burst to 24)
iptables -a syn-flood -m limit --limit 12/s --limit-burst 24 -j return
這個地方可以試著該該:
iptbales -a forward -p tcp --syn -m limit --limit 1/s -j accept
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有syn,ddos等。
通過更換ip,查詢被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底
的解決方法是添置硬體防火牆。不過,硬體防火牆**比較昂貴。可以考慮利用linux
系統本身提供的防火牆功能來防禦。
1. 抵禦syn
syn攻擊是利用tcp/ip協議3次握手的原理,傳送大量的建立連線的網路包,但不實際
建立連線,最終導致被攻擊伺服器的網路佇列被佔滿,無法被正常使用者訪問。
linux核心提供了若干syn相關的配置,用命令:
sysctl -a | grep syn
看到:net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是syn佇列的長度,tcp_syncookies是一個開關,是否開啟syn cookie
功能,該功能可以防止部分syn攻擊。tcp_synack_retries和tcp_syn_retries定義syn
的重試次數。
加大syn佇列長度可以容納更多等待連線的網路連線數,開啟syn cookie功能可以阻止部分
syn攻擊,降低重試次數也有一定效果。
調整上述設定的方法是:
增加syn佇列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
開啟syn cookie功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local檔案中。
2. 抵禦ddos
ddos,分散式拒絕訪問攻擊,是指黑客組織來自不同**的許多主機,向常見的埠,如80,
25等傳送大量連線,但這些客戶端只建立連線,不是正常訪問。由於一般apache配置的接受連線
數有限(通常為256),這些「假」 訪問會把apache佔滿,正常訪問無法進行。
使用ipchains抵禦ddos,就是首先通過netstat命令發現攻擊**地址,然後用ipchains命令阻斷
攻擊。發現一個阻斷一個。
首先檢視ipchains服務是否設為自動啟動:
chkconfig --list ipchains
2樓:匿名使用者
doos還沒有很好的預防方法,最好的方法就是硬體防火牆
其他方法都不適用
3樓:匿名使用者
沒有辦法
很多人都這麼跟我說
4樓:可旎瑞茂才
這問題很深,主要是在骨幹節點配置防火牆,加大主機數量,定期掃面、安裝補丁等等。
linux防火牆如何防禦ddos攻擊?
5樓:匿名使用者
在防火牆裡 設定自動攔截arp攻擊包 預設的就已經選上了 自己再詳細設定吧
6樓:僧白翠
單獨的linux系統防火牆軟體的功能設定這塊是不能處理dos的。一定要用硬防來保護才行
linux系統運維工作內容,Linux系統運維工作內容
文庫精選 內容來自使用者 rt伽 老男孩教育 初中級運維的日常涉及工作 1 評估產品需求及發展需求,設計 架構。2 選擇idc公司 雲產品,cdn等產品。3 採購伺服器 安裝系統 配置服務 伺服器idc上架。4 除錯網路 優化系統及服務。5 上線 配合研發搭建環境 除錯 測試 6 監控硬體 軟體及各...
linux系統好用嗎,請問linux系統怎麼樣,好用嗎 ?
魏什麼晨心晨意 看是怎樣的linux了,這個範圍太廣。因為是開源的,所以基於linux核心的系統數不勝數,操作介面也各不相同。因為沒多少人用,所以軟體不如windows多,所以安全性是很強大的,家用不推薦。反正最適合自己的就是最好的。你可以裝個虛擬機器,用一下不同的linux系統,比如ubuntu和...
紅旗linux系統怎麼樣?紅旗LINUX系統怎麼樣
linux 系統適用於系統管理 網路伺服器管理,如果你只是普通的電腦使用者,你還是重新安裝 windows 系統,如果是用於做網路伺服器,如 ftp www 系統閘道器服務等,那還是用 linux 系統比較好,linux 的最大優點是節省系統記憶體,執行速度比較快。你感覺linux系統好用你就用,不...