linux系統怎麼防止DDOS攻擊

時間 2021-08-30 09:04:32

1樓:匿名使用者

用squid是利用埠對映的功能,可以將80埠轉換一下,其實一般的ddos攻擊可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog裡的引數就行了,預設引數一般都很小,設為8000以上,一般的ddos攻擊就可以解決了。如果上升到timeout階段,可以將/proc/sys/net/ipv4/tcp_fin_timeout設小點。

大家都在討論ddos,個人認為目前沒有真正解決的方法,只是在緩衝和防禦能力上的擴充,跟黑客玩一個心理戰術,看誰堅持到最後,網上也有很多做法,例如syncookies等,就是複雜點。

sysctl -w net.ipv4.icmp_echo_ignore_all=1

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

sysctl -w net.ipv4.tcp_synack_retries="3"

iptables -a input -i eth0 -p tcp --syn -j syn-flood

# limit 12 connections per second (burst to 24)

iptables -a syn-flood -m limit --limit 12/s --limit-burst 24 -j return

這個地方可以試著該該:

iptbales -a forward -p tcp --syn -m limit --limit 1/s -j accept

虛擬主機服務商在運營過程中可能會受到黑客攻擊,常見的攻擊方式有syn,ddos等。

通過更換ip,查詢被攻擊的站點可能避開攻擊,但是中斷服務的時間比較長。比較徹底

的解決方法是添置硬體防火牆。不過,硬體防火牆**比較昂貴。可以考慮利用linux

系統本身提供的防火牆功能來防禦。

1. 抵禦syn

syn攻擊是利用tcp/ip協議3次握手的原理,傳送大量的建立連線的網路包,但不實際

建立連線,最終導致被攻擊伺服器的網路佇列被佔滿,無法被正常使用者訪問。

linux核心提供了若干syn相關的配置,用命令:

sysctl -a | grep syn

看到:net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog是syn佇列的長度,tcp_syncookies是一個開關,是否開啟syn cookie

功能,該功能可以防止部分syn攻擊。tcp_synack_retries和tcp_syn_retries定義syn

的重試次數。

加大syn佇列長度可以容納更多等待連線的網路連線數,開啟syn cookie功能可以阻止部分

syn攻擊,降低重試次數也有一定效果。

調整上述設定的方法是:

增加syn佇列長度到2048:

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

開啟syn cookie功能:

sysctl -w net.ipv4.tcp_syncookies=1

降低重試次數:

sysctl -w net.ipv4.tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

為了系統重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local檔案中。

2. 抵禦ddos

ddos,分散式拒絕訪問攻擊,是指黑客組織來自不同**的許多主機,向常見的埠,如80,

25等傳送大量連線,但這些客戶端只建立連線,不是正常訪問。由於一般apache配置的接受連線

數有限(通常為256),這些“假” 訪問會把apache佔滿,正常訪問無法進行。

使用ipchains抵禦ddos,就是首先通過netstat命令發現攻擊**地址,然後用ipchains命令阻斷

攻擊。發現一個阻斷一個。

首先檢視ipchains服務是否設為自動啟動:

chkconfig --list ipchains

2樓:匿名使用者

doos還沒有很好的預防方法,最好的方法就是硬體防火牆

其他方法都不適用

3樓:匿名使用者

沒有辦法

很多人都這麼跟我說

4樓:可旎瑞茂才

這問題很深,主要是在骨幹節點配置防火牆,加大主機數量,定期掃面、安裝補丁等等。

linux防火牆如何防禦ddos攻擊?

5樓:匿名使用者

在防火牆裡 設定自動攔截arp攻擊包 預設的就已經選上了 自己再詳細設定吧

6樓:僧白翠

單獨的linux系統防火牆軟體的功能設定這塊是不能處理dos的。一定要用硬防來保護才行

linux系統是什麼 LINUX系統是什麼?

linux是一個源 開放的共享作業系統,他跟windows有本質的區別,它有兩種模式可供我們操作,命令列模式和圖形模式,這個作業系統對硬體的要求比windows的低,並且這種系統非常穩定,所以這種系統一般不推薦大家使用,因為他操作進來麻煩,常用的是命令列模式,不經過培訓的話一般根本上不了手,圖形模式...

Linux系統問題,linux 問題

支援gb2312編碼。但是系統檔案預設都是utf 8編碼。apache2 php mysql都可以設定編碼為gb2312 linux 問題 linux的檔案系統是一個樹形結構。所有檔案和資料夾都要聽最高層指揮。也可以理解成linux下就一個盤,這個就是 然後 下面有幾個資料夾,分別是各個機關部委,機...

Linux系統有多大記憶體,linux 新系統一般 佔多大記憶體

劍宛秋關霞 你是指執行linux系統所需記憶體嗎?128m可以基本執行並安裝 256m可以勉強開啟特效 512m流暢執行特效 當然記憶體越大越好,特效與顯示卡也有關係 和windows相比,當然linux對記憶體的需求小 伍信素軍 你問的是linux系統安裝後佔多大硬碟空間嗎?這個不一定了,但是這還...