SYNフラッド攻撃(SYNフラッド)のみ握手SYNパケット配列を含む悪意ある攻撃を大量に送信し、障害のあるTCP / IPスリーウェイハンドシェイクを使用することです。この攻撃は、多くのシステムリソースをアップ接続の電位は3手を完了するために存在するように、サービス拒否攻撃、コンピュータ、あるいはクラッシュにつながる可能性があります。 |
あなたはSYNフラッド攻撃を受けて苦しむ場合のLinuxサーバーは、次のように設定することができます。
シンタイムアウトの削減:
iptablesの-A FORWARD -p tcpの-syn -m制限-limit 1 / sの-j ACCEPT iptablesの-A入力-i eth0の-m限界は-limit 1 /秒-limitバーストACCEPT -j 5
最大パケットシンあたり3へ
iptablesの-N SYNフラッド iptablesの-AのINPUT -p tcpの-syn -j SYNフラッド iptablesの-A SYNフラッド-p TCP -syn -m限界-limit 1 / S RETURN -j 3 -limitバースト REJECT -jのiptables -A SYNフラッド
セットsyncookies機能
sysctlの-w net.ipv4.tcp_syncookies = 1 sysctlの-w net.ipv4.tcp_max_syn_backlog = 3072 sysctlの-w net.ipv4.tcp_synack_retries = 0 sysctlの-w net.ipv4.tcp_syn_retries = 0 sysctlの-w net.ipv4.conf.all.send_redirects = 0 sysctlの-w net.ipv4.conf.all.accept_redirects = 0 sysctlの-w net.ipv4.conf.all.forwarding = 0 sysctlの-w net.ipv4.icmp_echo_ignore_broadcasts = 1
ピングを防止するために、コマンドを
sysctlの-w net.ipv4.icmp_echo_ignore_all = 1
ブロック特定のIP範囲
iptablesの-A INPUTが192.168.5.1/8 -i eth0の-jドロップ-s