本文介绍了一种通过系统配置调整来缓解DDoS***的方法,包括启用syncookies、增加SYN队列长度、降低重试次数等手段,并提供了iptables规则示例以限制并发连接数和防止端口扫描。
ddos,一种分布式的拒绝***,一般只能购买一些昂贵的硬件设备硬放,不过在RMB紧张的情况下,也可以利用现有的系统区适当的修改,可以缓解一点。虽然不能阻止,至少做了总比没有做强。
方法如下:
启用syncookies
sysctl -w net.ipv4.tcp_syncookies=1
增加SYN队列的长度
sysctl -w net.ipv4.tcp_max_syn_backlog=10240
降低重试次数
sysctl -w net.ipv4.tcp_synack_retries=2
sysctl -w net.ipv4.tcp_syn_retries=2
提高TCP连接能力:
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.sack=0 #我的Centos 5.4 提示没有这个关键字
限制并发连接数(每秒1个,如果嫌多,限制到10秒一个 6/m)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水***(Ping of Death)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
如果发起***的主机数量较少,可以封ip
iptables -A INPUT -s ***.***.***.*** -j DROP
查看当前的网络状态
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’
转载于:https://blog.51cto.com/2998729/975428
扫一扫
538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
