centos防止syn攻击

时间:2015-07-03 11:24来源:未知 作者:游客 举报 点击:
在linux系统中防止syn攻击我们可以使用iptalbes防火墙强阻止就差不多了,下面我来给大家介绍centos防止syn攻击(DDOS攻击)与防止各种端口扫描的一些实例。

防止syn攻击(DDOOS攻击的一种)

 代码如下  

iptables -I INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -I FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

 代码如下  

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击(Ping of Death)

 代码如下  

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Linux下设置

如果你的服务器配置不太好,TCP TIME_WAIT套接字数量达到两、三万,服务器很容易被拖死。通过修改Linux内核参数,可以减少服务器的TIME_WAIT套接字数量。

TIME_WAIT可以通过以下命令查看:以下是代码片段:netstat -an | grep "TIME_WAIT" | wc -l 在Linux下,如CentOS,可以通过修改/etc/sysctl.conf文件来达到目的。

增加以下几行:以下是代码片段:

 代码如下  

net.ipv4.tcp_fin_timeout = 30 
net.ipv4.tcp_keepalive_time = 1200 
net.ipv4.tcp_syncookies = 1 
net.ipv4.tcp_tw_reuse = 1 
net.ipv4.tcp_tw_recycle = 1 
net.ipv4.ip_local_port_range = 102465000 
net.ipv4.tcp_max_syn_backlog = 8192 
net.ipv4.tcp_max_tw_buckets = 5000 
net.ipv4.tcp_synack_retries = 2 
net.ipv4.tcp_syn_retries =


------分隔线----------------------------
发表评论
为了和诣的生活,我关闭了评论页面,请大家到群里交流吧:152021109
推荐内容