Linux系统下的DDOS***防范
Linux系統下的DDOS***防范
squid主要是利用其端口映射的功能,可以將80端口轉換一下,其實一般的DDOS***可以修改/proc/sys/net/ipv4 /tcp_max_syn_backlog里的參數就行了,默認參數一般都很小,設為8000以上,一般的DDOS***就可以解決了。如果上升到 timeout階段,可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。大家都在討論DDOS,個人認為目前沒有真正解決的方法,只是在緩沖和防御能力上的擴充,跟***玩一個心理戰術,看誰堅持到最后,網上也有很多做法,例如syncookies等,就是復雜點。
?
sysctl -w net.ipv4.icmp_echo_ignore_all=1echo 1 > /proc/sys/net/ipv4/tcp_syncookies
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
sysctl -w net.ipv4.tcp_synack_retries="3"
iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
# Limit 12 connections per second (burst to 24)
iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN
可以試著該該:
iptbales -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
虛擬主機服務商在運營過程中可能會受到******,常見的***方式有SYN,DDOS等。
通過更換IP,查找被***的站點可能避開***,但是中斷服務的時間比較長。比較徹底的解決方法是添置硬件防火墻。不過,硬件防火墻價格比較昂貴。可以考慮利用Linux系統本身提供的防火墻功能來防御。
1. 抵御SYN
SYN***是利用TCP/IP協議3次握手的原理,發送大量的建立連接的網絡包,但不實際建立連接,最終導致被***服務器的網絡隊列被占滿,無法被正常用戶訪問。
Linux內核提供了若干SYN相關的配置,用命令:
sysctl -a | grep syn
看到:
?
net.ipv4.tcp_max_syn_backlog = 1024net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關,是否打開SYN Cookie
功能,該功能可以防止部分SYN***。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數。
加大SYN隊列長度可以容納更多等待連接的網絡連接數,打開SYN Cookie功能可以阻止部分SYN***,降低重試次數也有一定效果。
調整上述設置的方法是:
增加SYN隊列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打開SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local文件中
?
netstat 工具來檢測SYN***
# netstat -n -p -t
tcp0 0 10.11.11.11:23124.173.152.8:25882 SYN_RECV-
tcp0 0 10.11.11.11:23236.15.133.204:2577 SYN_RECV-
tcp0 0 10.11.11.11:23127.160.6.129:51748 SYN_RECV-
...
LINUX系統中看到的,很多連接處于SYN_RECV狀態(在WINDOWS系統中是SYN_RECEIVED狀態),
源IP地址都是隨機的,表明這是一種帶有IP欺騙的SYN***。
# netstat -n -p -t | grep SYN_RECV | grep :80 | wc -l
324
查看在LINUX環境下某個端囗的未連接隊列的條目數,顯示TCP端囗22的未連接數有324個,
雖然還遠達不到系統極限,但應該引起管理員的注意。
[root@pub wxjsr]# netstat -na | grep SYN_RECV
tcp 0 0 58.193.192.20:80 221.0.108.162:32383 SYN_RECV
tcp 0 0 58.193.192.20:80 125.85.118.231:2601 SYN_RECV
tcp 0 0 58.193.192.20:80 222.242.171.215:2696 SYN_RECV
tcp 0 0 58.193.192.20:80 116.52.10.51:2629 SYN_RECV
tcp 0 0 58.193.192.20:80 218.171.175.157:1117
[root@pub wxjsr]# netstat -na | grep SYN_RECV |wc
11 66 979
查看系統SYN相關的配置
Linux內核提供了若干SYN相關的配置,用命令: sysctl -a | grep syn
[root@metc apache2]# /sbin/sysctl -a | grep syn
net.ipv6.conf.default.max_desync_factor = 600
net.ipv6.conf.all.max_desync_factor = 600
net.ipv6.conf.eth0.max_desync_factor = 600
net.ipv6.conf.lo.max_desync_factor = 600
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
net.ipv4.tcp_max_syn_backlog = 1280
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
fs.quota.syncs = 18
防范SYN***設置
#縮短SYN- Timeout時間:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit --limit 1/sec --limit-burst 5 -j ACCEPT
#每秒 最多3個 syn 封包 進入 表達為 :
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT
#設置syncookies:
sysctl -w net.ipv4.tcp_syncookies=1
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=3000
/sbin/sysctl -w net.ipv4.tcp_synack_retries=1
/sbin/sysctl -w net.ipv4.tcp_syn_retries=1
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
/sbin/sysctl -w net.ipv4.conf.default.accept_source_route=0 # 禁用icmp源路由選項
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 # 忽略icmp ping廣播包,應開啟
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=1 # 忽略所有icmp ping數據,覆蓋上一項
?
轉載于:https://blog.51cto.com/aixuexi/1065974
總結
以上是生活随笔為你收集整理的Linux系统下的DDOS***防范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 倒*
- 下一篇: linux 一些简记