Linux防各类攻击包的优化《江苏智简云网络安全小知识》

最近看到小伙伴对linux系统相关知识挺敢兴趣，今天呢江苏智简云的相关客服人员给大家讲一讲Linux防各类攻击包的优化，有需要的小伙伴可以拿笔记本记一下哦http://idc31.com/

防止同步包洪水（Sync Flood）

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

也可以这么写：

#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

--limit 1/s 限制syn并发数每秒1次，可以根据自己的需要修改

防止各种端口扫描

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

修改内核参数优化网络处理能力

vi /etc/sysctl.conf

net.ipv4.tcp_tw_reuse = 1

该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接。

net.ipv4.tcp_tw_recycle = 1

recyse是加速TIME-WAIT sockets回收

对tcp_tw_reuse和tcp_tw_recycle的修改，可能会出现.warning, got duplicate tcp line warning, got BOGUS tcp line.上面这二个参数指的是存在这两个完全一样的TCP连接，这会发生在一个连接被迅速的断开并且重新连接的情况，而且使用的端口和地址相同。但基本上这样的事情不会发生，无论如何，使能上述设置会增加重现机会。这个提示不会有人和危害，而且也不会降低系统性能，目前正在进行工作

net.ipv4.tcp_syncookies = 1

表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_keepalive_time = 1200

表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时

net.ipv4.tcp_fin_timeout = 30

fin_wait1状态是在发起端主动要求关闭tcp连接，并且主动发送fin以后，等待接收端回复ack时候的状态。对于本端断开的socket连接，TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。

net.ipv4.ip_local_port_range = 1024 65000

net.ipv4.tcp_max_syn_backlog = 8192

该文件指定了，在接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_timestamps = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.tcp_fin_timeout = 30

net.ipv4.ip_local_port_range = 1024 65000

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_sack = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

# 避免放大攻击

net.inet.udp.checksum=1

#防止不正确的udp包的攻击

net.ipv4.tcp_window_scaling = 1

修改完以上参数后保存退出并执行：sysctl -p 使得修改的参数生效。

公司主页：http://idc31.com/
公司全称：江苏智简云计算有限公司

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

### 江苏智简，江苏智简云，江苏智简云计算，idc31.com，www.idc31.com，徐州华为云，徐州服务器租用，徐州服务器托管，徐州数据中心，徐州云服务器，徐州网站建设，徐州APP搭建，徐州小程序开发，徐州APP开发，徐州网络安全，徐州网络维护，徐州网站维护，徐州网站搭建，徐州网络搭建，徐州网络攻击解决方案，徐州租用服务器，徐州托管服务器，徐州电信机房，徐州联通机房，徐州移动机房，徐州单线机房，徐州双线机房，徐州多线机房，徐州BGP线路机房，徐州系统安装，徐州VPS，徐州虚拟空间，徐州域名注册，徐州网站下载 ，徐州idc公司，徐州网络公司，徐州IDC公司排名，徐州网络公司排名，徐州互联网公司，徐州互联网公司排名，江苏华为云，江苏服务器租用，江苏服务器托管，江苏数据中心，江苏云服务器，江苏网站建设，江苏APP搭建，江苏小程序开发，江苏APP开发，江苏网络安全，江苏网络维护，江苏网站维护，江苏网站搭建，江苏网络搭建，江苏网络攻击解决方案，江苏租用服务器，江苏托管服务器，江苏电信机房，江苏联通机房，江苏移动机房，江苏单线机房，江苏双线机房，江苏多线机房，江苏BGP线路机房，江苏系统安装，江苏VPS，江苏虚拟空间，江苏域名注册，江苏网站下载 ，江苏idc公司，江苏网络公司，江苏IDC公司排名，江苏网络公司排名，江苏互联网公司，江苏互联网公司排名，企业服务器租用，游戏服务器租用，华为云服务器，阿里云服务器，腾讯云服务器，百度云服务器 虚拟云主机，网站备案，云虚拟主机，徐州电信，高防IP，免费永久服务器，云服务器网站，企业云服务器，网站云服务器###