ibm aix_IBM AIX TCP通信规则

最新推荐文章于 2022-10-13 17:05:14 发布
最新推荐文章于 2022-10-13 17:05:14 发布
阅读量685 收藏 1
点赞数
文章标签: 网络 linux java 安全 python
原文链接:https://www.ibm.com/developerworks/aix/library/au-tcp_traffic_reg/index.html
版权

在AIX上运行的TCP网络服务和子系统可以通过简单的管理调整自动透明地利用这种强大的DoS缓解技术。 此新功能通过利用集中式管理和基于防火墙的自定义,提供了一种简化的方法来提高网络安全性。

除了提供有效的服务级别和系统级别的TCP DoS缓解措施之外,IBM AIX TCP Traffic Regulation还提供了跨源Internet协议地址发起连接的系统级TCP连接资源多样性。

由于世界各地的政府,银行,大学,医院和企业都广泛采用Internet技术,因此我们的社会已经转变为依靠网络服务来进行日常操作。 至关重要的是,我们社会的网络基础架构必须能够抵抗对此可用性的主动攻击。

IBM AIX TCP Traffic Regulation为网络服务攻击弹性提供了一种低成本解决方案。 在操作系统级别确保可用性,从而可以透明地缓解主动和被动网络拒绝服务攻击。 为了激活保护,管理员定义了防火墙配置文件并对其进行了自定义,以保护处理关键服务的特定TCP端口。 这些集中的自定义防火墙配置文件为安全管理员在定制网络安全解决方案时提供了更大的功能和灵活性。

操作系统架构

IBM AIX TCP Traffic Regulation在AIX操作系统中提供了一个新的体系结构层。 这个新层的目标有两个:

  • 提供用于定义自定义TCP防火墙配置文件的集中管理框架。
  • 根据当前的防火墙策略,主动管理传入的TCP套接字连接和资源多样性。
图1. IBM AIX TCP流量监管(TR)架构
TCP流量监管架构

防火墙策略本身受系统管理员添加,删除或修改的配置文件定义的约束。 每个配置文件包含三个元素:

  • 需要保护的TCP端口或端口范围。
  • 此配置文件的TCP端口允许的最大传入套接字连接数。
  • 分集值(用于调整最大传入套接字连接池中共享TCP资源的整体分集的数值)。

此缓解系统透明地工作,无需更改现有应用程序。 TCP TR在内核级别主动管理传入的套接字连接请求,从而使缓解措施透明地工作-无需更改现有应用程序(请参见图1 )。 因此,将自动保护在AIX上运行并在这些防火墙配置文件覆盖的TCP端口上运行的任何网络服务软件免受拒绝服务攻击。

防火墙配置文件是使用tcptr命令行实用工具定义的。 该实用程序提供了交互式管理和TCP TR策略的脚本操作。 可以使用tcptr_enable网络选项来打开或关闭整个TCP TR系统。 例如,要激活子系统,请使用以下no命令: 

no -p -o tcptr_enable=1

tcptr命令将传入TCP连接的最大限制分配给给定的网络端口或端口范围。 管理用户通过添加或删除将由远程访问AIX TCP层的传入套接字请求共同共享的连接资源池,来控制与TCP TR相关的系统资源。

可选地,可以指定分集可调参数,以增加对资源共享策略的控制。

一旦生效,这些TCP TR配置文件将成为管理连接的活动策略。 操作系统自动确保尝试通过TCP连接到特定端口的多个远程IP地址之间共享资源。

攻击概述

网络服务通常与可用于TCP通讯的可用操作系统资源无关。 大多数TCP服务只是在接收到新的套接字连接请求后才尝试接受它们。 如果不加限制,则这些网络服务不断产生的TCP连接请求和随后的TCP资源消耗最终将耗尽所有可用的系统资源。

图2. TCP资源耗尽的拓扑
TCP资源耗尽的拓扑

恶意攻击者可以利用此行为,并通过Internet对易受攻击的网络服务发起远程拒绝服务攻击。 通过与易受攻击的系统建立数千个套接字连接请求,攻击最终使服务不可用。 发生这种情况的原因可能是系统本身瘫痪,或者是漏洞服务的套接字可用性最大化。 一旦系统或服务不可用,就会阻止合法客户端使用受攻击系统托管的网络服务(请参阅 图2)。

TCP TR实用程序

TCP TR实用程序配置或显示TCP TR策略信息,以控制端口的最大传入套接字连接。 该实用程序的语法如下: 

tcptr -add <start port> <end port> <max connection> [divisor] tcptr -delete <start port> <end port> tcptr -show

哪里:

  • -add将新的TCP TR策略添加到系统中。 您应该使用此标志指定当前策略,开始端口和结束端口的最大允许连接数。 如果未指定端口范围,则起始端口和结束端口可以是同一端口。 (可选)您可以指定除数,以允许可用TCP连接池上的资源共享更加多样化。
  • -delete删除为系统定义的现有TCP TR策略。 该标志要求用户指定当前策略,起始端口和终止端口的最大允许连接数(如果未指定端口范围,则可以与起始端口相同)。
  • -show显示系统上定义的所有现有TCP TR策略。 在使用-delete标志之前,您可以使用-show标志查看活动策略。

参数为:

<最大连接数> 指定给定TR策略的最大传入TCP连接数。
<启动端口> 指定当前TR策略的起始端口。
<结束端口> 指定当前TR策略的结束端口。 如果端口是一个范围,则指定的值必须大于起始端口。 如果TR策略是针对单个端口的,则指定的值必须等于为起始端口指定的值。
<除数> 指定一个除数,以将可用的传入TCP连接数与IP消耗的传入的TCP连接数进行比较,并对应于整个可用连接数除以2的幂。 除数是除法中使用的二的幂。 此参数是可选的,如果未指定,则默认值为1。 在这种情况下,将使用可用连接数的一半。

例子

要添加仅涵盖TCP端口23的TCP流量监管策略,并设置最大传入连接池256和可用连接因子为3,请输入以下命令: 

# tcptr -add 23 23 256 3

要添加涵盖从5000到6000的TCP端口的TCP流量监管策略,并设置最大传入连接池5000和可用连接因子为2,请输入以下命令: 

# tcptr -add 5000 6000 5000 2

要显示为系统设置的TCP流量监管策略,请输入以下命令: 

# tcptr -show

要删除覆盖范围在5000到6000之间的TCP端口的TCP流量监管策略,请输入以下命令: 

# tcptr -delete 5000 6000

摘要

IBM AIX TCP Traffic Regulation为网络服务攻击弹性提供了一种低成本解决方案。 在操作系统级别确保可用性,从而可以透明地缓解主动和/或被动网络拒绝服务攻击。 需要安全性和可用性的网络服务应该从这种强大的操作系统技术中受益。

翻译自: https://www.ibm.com/developerworks/aix/library/au-tcp_traffic_reg/index.html

cusi77914
关注
no与tcp参数设置
dingwood的专栏
10-20 1977
<br />转载地址:http://www.aixchina.net/?3124/viewspace-12653.html<br /> AIX系统中, no命令用于管理网络调整参数. 下面介绍与TCP连接相关的四个主要参数:<br /><br />1. 简介:<br />tcp_keepinit: 为TCP连接设置初始超时值,单位为半秒. 缺省值:150(75秒).<br />tcp_keepidle: 指定保持一个空闲TCP连接的时间长度,以半秒测量. 缺省值:14400(2小时).<br />tcp_k
AIX TCP/IP
weixin_33804990的博客
09-17 133
在大多数 UNIX系统上用命令设置 TCP/IP,例如 ifconfig 和 route,然后通过编辑初始化文件使配置永久生效。AIX 中也可以这样做,但是使用 SMIT 做所有的配置是最好的,这样做能保证更新/etc/rc.net 和 ODM 里的信息。1、配置 IP 地址和主机名如同其它操作系统对 TCP/IP 的支持,AIX 首先也要配置 IP 地址和主机名,以便主机间...
aix select tcp
myenglishmail的专栏
10-29 636
这个必须支持,谁让他宣传的说select是一个标准呢 。   static char ibmid[] = "Copyright IBM Corporation 2013 LICENSED MATERIAL - PROGRAM PROPERTY OF IBM"; #include #include #include #include #include #include
AIX 作为Web Server 使用时,tcp相关的几个参数调整
Uncle.Cui的技术博客
06-22 891
一,参数 1,TCP_TIMEWAIT 描述:确定TCP/IP在释放已关闭的连接并再次使用其资源前必须经过的时间。关闭与释放之间的这段时间称为TIME_WAIT状态或者两倍最大段生存期(2MSL)状态。此时间期间,重新打开到客户机和服务器的连接的成本少于建立新连接。通过减少此条目的值,TCP/IP可以更快地释放关闭的连接,并为新连接提供更多资源。如果运行中的应用程序要求快速释放连接或创建新连接,或者由于许多连接处于TIME_WAIT状态而导致吞吐量较低,请调整此参数。 如何查看或设置: 发...
AIX TCP/IP基本配置参考
bd_ming的博客
09-01 260
内容提要: TCP/IP的初始配置 配置主机名 配置/etc/hosts文件 配置网络接口 说明: TCP/IP的初始配置 TCP/IP的初始配置适用于您第一次在某个AIX系统上配置TCP/IP。它提供了一个单一的界面,使您能够同时配置主机名、一个网络接口IP地址、默认网关和名字解析。下面我们向您介绍如何执行初始配置。 您可以通过命令smitty mktcpip来...
IBM AIX修改telnet的默认端口
weixin_34161064的博客
03-19 1150
编辑/etc/services文件,添加 telnet 8020/tcptelnet 8020/udp注意这 两条entries必须写在23端口前,如果写在23端口后,还是会以23端口为telnet然后 refresh -s inetd不要写成以下格式telnet 23/tcp # Telnettelnet 23/udp # Telnet# 24/tcp # ...
IBM_AIX.rar_aix_大型机
09-23
11AIX网络.PDF和12AIX网络文件系统.PDF可能会涉及TCP/IP协议栈、网络配置、子网划分、路由以及NFS(Network File System)和CIFS(Common Internet File System)等网络文件共享技术。 备份和恢复策略是任何系统不...
经典 IBM_UNIX_&_Linux_AIX_5L系统管理技术 中文版
10-05
文件系统,页面空间,系统备份和恢复,进程管理,自动执行作业,系统资源控制器(SRC),CDE及图形界面管理,软件安装与维护,TCP/IP网络管理,网络文件系统(NFS),IBM Linux管理,系统性能调优,故障诊断与处理和...
aix.rar_aix_unix a
09-20
AIX支持TCP/IP协议栈,配置网络参数包括IP地址、子网掩码、网关等。网络服务如DNS、DHCP、HTTP等可以通过 inetd 或 xinetd 配置启动。NIS(Network Information Service)和NFS(Network File System)也是AIX网络...
IBM_RS6000_AIX_UNIX操作系统的安装
05-08
在本教程中,我们将深入探讨如何在IBM RS6000服务器上安装AIX UNIX操作系统。AIX(Advanced Interactive eXecutive)是IBM开发的一种强大的操作系统,专为Power架构的RISC系统设计。 首先,启动安装过程。确保...
解决达到计算机的连接数最大值TCPIP
01-06
解决达到计算机的连接数最大值TCPIP,希望可以帮到你
IBM AIX系统管理学习笔记
11-06
### IBM AIX系统管理学习笔记知识点汇总 #### 一、AIX系统概述及厂家介绍 - **IBM AIX**:AIX(Advanced Interactive Executive)是由IBM公司开发的一种基于Unix的操作系统,主要运行于IBM的Power Systems硬件平台...
使用 AIX TCP/IP 过滤功能设置防火墙
weixin_33736048的博客
02-22 1140
简介 一个 POWER 服务器具有承载上百个 LPAR 或分区(一个分区就是操作系统安装的一个独立实例)的处理能力,这意味着,虚拟化功能让您能在一个物理机器中拥有上百个服务器。如果这上百个服务器在处理 Internet 或其他敏感的数据,那么您可能想要在其中设置一些防火墙规则作为额外的安全层(以及网络防火墙和***防御设备)。 本文从简短回顾 TCP/IP 网络开始。如果...
aix防火墙中禁止端口配置
qq_42005257的博客
10-10 1570
1.第一步输入smitty tcpip,选择Configure IP Security (IPv4) 2.第二步选择最后一个Advanced IP Security Configuration 3.第三步选择Configure IP Security Filter Rules 4.第四步选择Add an IP Security Filter Rule 添加一条规则 Rule Action 按tab键 到deny 禁止访问 IP Source Address 和 IP Source Mask 都为0.0.
AIX中配置防火墙策略
热门推荐
allway2的博客
09-07 1万+
前言 在通常情况下,AIX 服务器都放置于企业内部环境中,可以受到企业级防火墙的保护。为了方便使用,在 AIX 系统中许多常用服务端口缺省是开放的,但这同时也带来一定的安全隐患,给企业内部一些别有用心的人提供了方便之门。 安全无小事,对于运行了关键业务的 AIX 服务器,为了提高安全性,我们可以通过关闭不必要的端口,停止相应的服务来实现。但是,如果某项服务端口由于应用的特殊需要不可以停止,有什...
关于AIX系统tcp_keepidle(keepalive)参数设定的问题[收]
firelife
06-27 2290
AIX关于keepalive的参数有2个 tcp_keepintvl = 150 Parameter interval between probes tcp_keepidle = 14400 Parameter wait time before probing the connection 具体的间隔单位是半秒。以上信息采用no -a来看,但是信息修改要root权限。修改是用no -o tcp_k...
aix oracle连接数,AIX限制引发的Oracle ORA-12537: TNS:connection closed报错
weixin_29424569的博客
04-05 436
该报错初步判断肯定是会话数不足导致的。首先检查数据库的session和proccess数。查询最大的Process连线数show parameter processes查询最大的Session连接数show parameter sessions查询数据库处于连接状态的Process总数select count(*) from v$process;查询数据库处于连接状态的Session总数selec...
TCP关闭连接
最新发布
kk的任意门
10-13 4624
TCP关闭连接
TCP 连接断开问题剖析
Development
08-27 2929
引言 在官方的正式文档中,TCP/IP 协议簇也称为国际互联网协议簇。TCP/IP 协议簇是目前使用最为广泛的全球互联网技术,其分层结构如图 1 所示:图 1. TCP/IP 协议簇分层结构 如图 1 所示,数据链路层主要负责处理传输媒介等众多的物理接口细节;网络层负责处理数据分组在网络中的活动,包括上层数据报文的分割、选路 phost2008-08-21T00:00:00 等;传输层则
IBM AIX操作系统命令大全
"IBM AIX操作系统常用命令,包括硬件配置信息查询、系统信息查询和配置主机的命令,适用于IBM小型机,是华为培训教程的一部分。" 在IBM AIX操作系统中,掌握一系列常用命令对于管理和维护系统至关重要。这些命令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值