rp_filter參數(shù)的作用是什么
本篇內容主要講解“rp_filter參數(shù)的作用是什么”,感興趣的朋友不妨來看看�。本文介紹的方法操作簡單快捷,實用性強�����。下面就讓小編來帶大家學習“rp_filter參數(shù)的作用是什么”吧!
rp_filter參數(shù)介紹
rp_filter參數(shù)用于控制系統(tǒng)是否開啟對數(shù)據(jù)包源地址的校驗�。 首先看一下Linux內核文檔documentation/networking/ip-sysctl.txt中的描述:
rp_filter - INTEGER
0 - No source validation.
1 - Strict mode as defined in RFC3704 Strict Reverse Path。 Each incoming packet is tested against the FIB and if the interface is not the best reverse path the packet check will fail. By default failed packets are discarded.
2 - Loose mode as defined in RFC3704 Loose Reverse Path Each incoming packet's source address is also tested against the FIB and if the source address is not reachable via any interface the packet check will fail.
Current recommended practice in RFC3704 is to enable strict mode to prevent IP spoofing from DDos attacks. If using asymmetric routing or other complicated routing, then loose mode is recommended.
The max value from conf/{all,interface}/rp_filter is used when doing source validation on the {interface}.
Default value is 0. Note that some distributions enable it in startup scripts.
即rp_filter參數(shù)有三個值�����,0、1�、2,具體含義: 0:不開啟源地址校驗�。 1:開啟嚴格的反向路徑校驗。對每個進來的數(shù)據(jù)包�����,校驗其反向路徑是否是最佳路徑�。如果反向路徑不是最佳路徑,則直接丟棄該數(shù)據(jù)包�。 2:開啟松散的反向路徑校驗。對每個進來的數(shù)據(jù)包�����,校驗其源地址是否可達�,即反向路徑是否能通(通過任意網(wǎng)口)�,如果反向路徑不同,則直接丟棄該數(shù)據(jù)包�����。 更多rp_filter 的知識可以參考這個帖子�。
解決辦法: 1.修改路由表,使響應數(shù)據(jù)包從eth2出,即保證請求數(shù)據(jù)包進的網(wǎng)卡和響應數(shù)據(jù)包出的網(wǎng)卡為同一個網(wǎng)卡�。
2.關閉rp_filter參數(shù)。(注意all和default的參數(shù)都要改)
1)修改/etc/sysctl.conf文件�,然后sysctl -p刷新到內存。
2)使用sysctl -w直接寫入內存:sysctl -w net.ipv4.conf.all.rp_filter=0
3)修改/proc文件系統(tǒng): echo "0">/proc/sys/net/ipv4/conf/all/rp_filter
開啟rp_filter參數(shù)的作用
減少DDoS攻擊 校驗數(shù)據(jù)包的反向路徑�,如果反向路徑不合適,則直接丟棄數(shù)據(jù)包�����,避免過多的無效連接消耗系統(tǒng)資源�。
防止IP Spoofing 校驗數(shù)據(jù)包的反向路徑,如果客戶端偽造的源IP地址對應的反向路徑不在路由表中�����,或者反向路徑不是最佳路徑�����,則直接丟棄數(shù)據(jù)包�����,不會向偽造IP的客戶端回復響應�����。
Ps:兩種常見的非法攻擊手段:
DDos攻擊(Distribute Deny of Service) 分布式拒絕服務攻擊。通過構造大量的無用數(shù)據(jù)包向目標服務發(fā)起請求�����,占用目標服務主機大量的資源�,還可能造成網(wǎng)絡擁塞,進而影響到正常用戶的訪問�。
IP Spoofing(IP欺騙) IP Spoofing指一個客戶端通過偽造源IP,冒充另外一個客戶端與目標服務進行通信�,從而達到某些不可告人的秘密。
到此�����,相信大家對“rp_filter參數(shù)的作用是什么”有了更深的了解�,不妨來實際操作一番吧�!這里是億速云網(wǎng)站,更多相關內容可以進入相關頻道進行查詢�����,關注我們�����,繼續(xù)學習!
