Linux怎么防御SYN攻擊

本篇內(nèi)容主要講解“Linux怎么防御SYN攻擊”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“Linux怎么防御SYN攻擊”吧!

一、默認(rèn)syn配置

 sysctl -a | grep _syn
 net.ipv4.tcp_max_syn_backlog = 1024
 net.ipv4.tcp_syncookies = 1
 net.ipv4.tcp_synack_retries = 5
 net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog 是SYN隊(duì)列的長(zhǎng)度，加大SYN隊(duì)列長(zhǎng)度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)。 tcp_syncookies是一個(gè)開關(guān)，是否打開SYN Cookie 功能，該功能可以防止部分SYN攻擊。 tcp_synack_retries和tcp_syn_retries定義SYN 的重試連接次數(shù)，將默認(rèn)的參數(shù)減小來(lái)控制SYN連接次數(shù)的盡量少。

二、修改syn配置

 ulimit -HSn 65535
 sysctl -w net.ipv4.tcp_max_syn_backlog=2048
 sysctl -w net.ipv4.tcp_syncookies=1
 sysctl -w net.ipv4.tcp_synack_retries=2
 sysctl -w net.ipv4.tcp_syn_retries=2

三、添加防火墻規(guī)則

 #Syn 洪水攻擊(--limit 1/s 限制syn并發(fā)數(shù)每秒1次)
 iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
 #防端口掃描
 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
 #防洪水ping
 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

四、添加開機(jī)啟動(dòng)

最后別忘記將二、三、里面的命令寫到/etc/rc.d/rc.local

到此，相信大家對(duì)“Linux怎么防御SYN攻擊”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！