Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2503477
  • 博文数量: 540
  • 博客积分: 11289
  • 博客等级: 上将
  • 技术积分: 6160
  • 用 户 组: 普通用户
  • 注册时间: 2008-02-11 20:27
个人简介

潜龙勿用,见龙在田

文章分类

全部博文(540)

文章存档

2018年(2)

2013年(5)

2012年(24)

2011年(104)

2010年(60)

2009年(217)

2008年(128)

分类:

2008-10-21 10:49:30

防是防不住的,除非买昂贵的硬防才有好些的效果,下面一些措施只能起到一些缓冲的作用
启用syncookies
sysctl -w net.ipv4.tcp_syncookies=1
增加SYN队列的长度
sysctl -w net.ipv4.tcp_max_syn_backlog=10240
降低重试次数
sysctl -w net.ipv4.tcp_synack_retries=1
sysctl -w net.ipv4.tcp_syn_retries=1
限制并发连接数(每秒1个,如果嫌多,限制到10秒一个 6/m)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

如果发起攻击的主机数量较少,可以封ip
iptables -A INPUT -s ***.***.***.*** -j DROP
如果攻击是通过某个网址发起的,则可在web服务器上禁止该referer
阅读(1392) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~