Detaillierte Erläuterung der Schritte zur Abwehr von SYN-Angriffen unter Linux

1. Standard-Syn-Konfiguration

sysctl -a | grep _syn
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog ist die Länge der SYN-Warteschlange. Durch Erhöhen der Länge der SYN-Warteschlange können mehr Netzwerkverbindungen aufgenommen werden, die auf eine Verbindung warten. tcp_syncookies ist ein Schalter, ob die SYN-Cookie-Funktion aktiviert werden soll, die einige SYN-Angriffe verhindern kann. tcp_synack_retries und tcp_syn_retries definieren die Anzahl der SYN-Verbindungswiederholungsversuche und reduzieren die Standardparameter, um die Anzahl der SYN-Verbindungen so gering wie möglich zu steuern.

2. Synchronkonfiguration ändern

ulimit -HSn 65535
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_synack_retries=2
sysctl -w net.ipv4.tcp_syn_retries=2

3. Firewall-Regeln hinzufügen

#Syn 洪水攻击(--limit 1/s 限制syn并发数每秒1次)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#防端口扫描
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#防洪水ping
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

4. Boot-Startup hinzufügen

Vergessen Sie nicht, die Befehle in 2, 3 und 3 in /etc/rc.d/rc.local zu schreiben

Das obige ist der detaillierte Inhalt vonDetaillierte Erläuterung der Schritte zur Abwehr von SYN-Angriffen unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!