1樓:匿名使用者
用squid是利用埠對映的功能,可以將80埠轉換一下,其實一般的ddos攻擊可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog裡的引數就行了,預設引數一般都很小,設為8000以上,一般的ddos攻擊就可以解決了。如果上升到timeout階段,可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。
大家都在討論ddos,個人認為目前沒有真正解決的方法,只是在緩衝和防禦能力上的擴充,跟黑客玩一個心理戰術,看誰堅持到最後,網上也有很多做法,例如syncookies等,就是複雜點。
sysctl -w net.ipv4.icmp_echo_ignore_all=1
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
sysctl -w net.ipv4.tcp_synack_retries="3"
iptables -a input -i eth0 -p tcp --syn -j syn-flood
# limit 12 connections per second (burst to 24)
iptables -a syn-flood -m limit --limit 12/s --limit-burst 24 -j return
這個地方可以試著該該:
iptbales -a forward -p tcp --syn -m limit --limit 1/s -j accept
虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有syn,ddos等。
通過更換ip,查詢被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底
的解決方法是添置硬體防火牆。不過,硬體防火牆**比較昂貴。可以考慮利用linux
系統本身提供的防火牆功能來防禦。
1. 抵禦syn
syn攻擊是利用tcp/ip協議3次握手的原理,傳送大量的建立連線的網路包,但不實際
建立連線,最終導致被攻擊伺服器的網路佇列被佔滿,無法被正常使用者訪問。
linux核心提供了若干syn相關的配置,用命令:
sysctl -a | grep syn
看到:net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是syn佇列的長度,tcp_syncookies是一個開關,是否開啟syn cookie
功能,該功能可以防止部分syn攻擊。tcp_synack_retries和tcp_syn_retries定義syn
的重試次數。
加大syn佇列長度可以容納更多等待連線的網路連線數,開啟syn cookie功能可以阻止部分
syn攻擊,降低重試次數也有一定效果。
調整上述設定的方法是:
增加syn佇列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
開啟syn cookie功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local檔案中。
2. 抵禦ddos
ddos,分散式拒絕訪問攻擊,是指黑客組織來自不同**的許多主機,向常見的埠,如80,
25等傳送大量連線,但這些客戶端只建立連線,不是正常訪問。由於一般apache配置的接受連線
數有限(通常為256),這些“假” 訪問會把apache佔滿,正常訪問無法進行。
使用ipchains抵禦ddos,就是首先通過netstat命令發現攻擊**地址,然後用ipchains命令阻斷
攻擊。發現一個阻斷一個。
首先檢視ipchains服務是否設為自動啟動:
chkconfig --list ipchains
2樓:匿名使用者
doos還沒有很好的預防方法,最好的方法就是硬體防火牆
其他方法都不適用
3樓:匿名使用者
沒有辦法
很多人都這麼跟我說
4樓:可旎瑞茂才
這問題很深,主要是在骨幹節點配置防火牆,加大主機數量,定期掃面、安裝補丁等等。
linux防火牆如何防禦ddos攻擊?
5樓:匿名使用者
在防火牆裡 設定自動攔截arp攻擊包 預設的就已經選上了 自己再詳細設定吧
6樓:僧白翠
單獨的linux系統防火牆軟體的功能設定這塊是不能處理dos的。一定要用硬防來保護才行
linux怎麼關閉系統,linux怎麼關閉
在linux下一些常用的關機 重啟命令有shutdown halt reboot 及init。shutdown shutdown命令安全地將系統關機。halt 最簡單的關機命令 其實halt就是呼叫shutdown h。halt執行時 殺死應用程序 執行sync系統呼叫 reboot reboot的...
linux系統mysql怎麼還原
mysql的還原,我不知道你說的是怎麼還原。你可以刪掉資料,重新再裝一下mysql,這樣的話,我相信你應該可以還原了。linux系統學習,可以選擇合適的入門教程linux 就 該 這 麼 學 如何將linux中mysql備份恢復 linux系統mysql資料庫怎麼進入資料庫?linux作業系統,是一...
通過封IP可否防止ddos攻擊,有沒有知道如何通過IP過濾防禦DDoS攻擊
可以是可以防,但是沒什麼用,你不可能把所有ip都遮蔽,效果的確有那麼一點,事實上,封ip相對於不封ip,在對付 syn ack flood之類 攻擊的時候 唯一的區別就是 快速丟棄 不響應 資料包,具體到不同型別的防火牆,有不同的處理方法,但是有一點是共同的,那都是 必須接收到這個資料包 所以,假如...