防是防不住的,除非买昂贵的硬防才有好些的效果,下面一些措施只能起到一些缓冲的作用
启用syncookies
sysctl -w net.ipv4.tcp_syncookies=1
增加SYN队列的长度
sysctl -w net.ipv4.tcp_max_syn_backlog=10240
降低重试次数
sysctl -w net.ipv4.tcp_synack_retries=1
sysctl -w net.ipv4.tcp_syn_retries=1
限制并发连接数(每秒1个,如果嫌多,限制到10秒一个 6/m)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
如果发起攻击的主机数量较少,可以封ip
iptables -A INPUT -s ***.***.***.*** -j DROP
如果攻击是通过某个网址发起的,则可在web服务器上禁止该referer
阅读(1434) | 评论(0) | 转发(0) |