Linux防DDOS的設(shè)置

藍(lán)隊(duì)云小課堂：

（1）核心參數(shù)

sysctl -a | grep ipv4 | grep syn

net.ipv4.tcp_syn_retries = 2

net.ipv4.tcp_synack_retries = 2

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 8129

net.ipv4.tcp_syncookies是否打開SYN COOKIES的功能，“1”為打開，“2”關(guān)閉。

net.ipv4.tcp_max_syn_backlog是SYN隊(duì)列的長(zhǎng)度，加大隊(duì)列長(zhǎng)度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)。

net.ipv4.tcp_synack_retries和net.ipv4.tcp_syn_retries是定義SYN重試次數(shù)。

提高TCP連接能力

net.ipv4.tcp_rmem = 32768

net.ipv4.tcp_wmem = 32768

（2）修改防火墻的配置　

防止同步包洪水（Sync Flood）

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并發(fā)數(shù)每秒1次，可以根據(jù)自己的需要修改防止各種端口掃描

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻擊（Ping of Death）

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

更多小知識(shí)，可聯(lián)系藍(lán)隊(duì)云一起探討。