Explication détaillée des étapes à suivre pour se défendre contre les attaques SYN sous Linux

1. Configuration de synchronisation par défaut

sysctl -a | grep _syn
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog est la longueur de la file d'attente SYN L'augmentation de la longueur de la file d'attente SYN peut accueillir davantage de connexions réseau en attente de connexion. tcp_syncookies est un commutateur permettant d'activer ou non la fonction SYN Cookie, qui peut empêcher certaines attaques SYN. tcp_synack_retries et tcp_syn_retries définissent le nombre de tentatives de connexion SYN et réduisent les paramètres par défaut pour contrôler le moins possible le nombre de connexions SYN.

2. Modifier la configuration de synchronisation

ulimit -HSn 65535
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_synack_retries=2
sysctl -w net.ipv4.tcp_syn_retries=2

3. Ajouter des règles de pare-feu

#Syn 洪水攻击(--limit 1/s 限制syn并发数每秒1次)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#防端口扫描
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#防洪水ping
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

4. Ajouter le démarrage du démarrage

Enfin, n'oubliez pas d'écrire les commandes en 2, 3 et 3 dans /etc/rc.d/rc.local

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!