linux 系统调优

已于 2023-04-04 15:38:33 修改
阅读量258 收藏
点赞数
文章标签: 网络 服务器 tcp/ip 云计算
于 2023-04-04 14:58:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61375008/article/details/129953090
版权

1. SYN攻击简介

所谓SYN攻击,即利用TCP三次握手原理,向服务器发送大量的SYN数据包,却不响应服务器反馈的SYN+ACK数据包,导致服务器的网络、内存等资源被大量占用,从而导致正常用户无法访问,起到了拒绝服务攻击的目的。

如果想要杜绝SYN攻击,那么我们应该设置服务器减少对ACK数据包的等待时间,减少对SYN+ACK数据包的重发次数,增大网络连接队列的长度等等,

防止SYN攻击的相关内核参数如下所示:

(1)net.ipv4.tcp_synack_retries

该参数表示服务器在收到客户端的SYN数据包并发送SYN+ACK数据包后,如果没有收到客户端的ACK数据包的重发SYN+ACK数据包的次数。在默认情况下,该值设置为5,即表示服务器会尝试发送5次SYN+ACK数据包,如果依旧没有收到响应,则中断链接,不再进行尝试。

(2)net.ipv4.tcp_max_syn_backlog

该参数表示SYN队列的长度,默认为128,可以将该参数设置为20480,以容纳更多的网络链接数。

(3)fs.file-max

该参数表示系统允许的文件句柄的最大数目,TCP连接的建立需要占用文件句柄,因此可以将该参数设置的大一点以应对大量的TCP链接请求。

(4)net.core.somaxconn

该参数表示socket监听队列长度,系统在默认情况下会将已经收到但是还没有处理的request请求放入到该队列中,当该队列满后就无法处理其他的request请求。因此增大该队列的长度可以应对更多的TCP连接请求。但是也会消耗系统的内存。

(5)net.core.wmem_max

该参数表示最大的TCP数据发送缓存,单位为字节。

(6)net.core.netdev_max_backlog

该参数表示当网络设备接收数据包的速率大于内核处理数据包速率时,允许将数据包送入队列的最大数目。

(7)net.ipv4.ip_local_port_range

该参数表示本机主动连接其他设备时的端口分配范围,通常设置为10000-65535,防止占用知名端口。

(8)net.ipv4.tcp_syncookies

该参数默认为0,表示关闭SYN Cookies,可以将该参数设置为1,表示开启该功能。SYN Cookies表示当出现SYN等待队列溢出时,启用Cookies来处理,可以防范少量的SYN攻击。

(9)net.ipv4.tcp_tw_reuse

该参数如果设置为1,则表示允许将TIME-WAIT sockets重新应用于新的TCP连接,如果设置为0,则表示关闭该功能。在默认情况下,该参数设置为0。

(10)net.ipv4.tcp_syn_retries

表示当该设备向其他设备发送TCP SYN包尝试建立TCP连接时,如果对方不响应(有可能是网络丢包或者是对方服务忙),则重新发送TCP SYN数据包的次数。

(11)net.ipv4.tcp_fin_timeout

该参数表示对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间,默认为60。

(12)net.ipv4.tcp_tw_recycle

该参数表示是否开启TCP连接中TIME-WAIT sockets快速回收,在默认情况下设置为0,表示不回收,如果设置为1,则表示回收。

2. 解决策略

(1)开启SYN cookie,防止SYN洪水攻击,修改配置文件/etc/sysctl.conf。

配置文件添加参数,如下所示:

# vi /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1

生效修改配置,命令如下:

[root@controller ~]# sysctl -p
net.ipv4.tcp_syncookies = 1

(2)允许将TIME-WAIT sockets重新用于新的TCP连接;开启TCP连接中TIME-WAIT sockets的快速回收;修改系統默认的TIMEOUT时间为30。如下所示:

# vi /etc/sysctl.conf
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30

生效修改配置,命令如下:

# sysctl -p     
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30

请叫我不待
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Linux服务器性能优化最佳实践
04-24
调优需要掌握的技能: 1. 必须了解硬件和软件 2. 能够把所有的性能、指标量化,用数字说话 3. 设置一个正常期待值,比如将响应速度调到1.5秒 (企业版操作系统在出厂时已经调优,适用于普遍的应用,再根据个人的环境进行微调) 4. 建议有一定的开发能力 5. 如果想要更好的调优,让调优有艺术性,需要更多的经验的积累,从而有一定洞察力,调节时所给参数才最恰当
Linux服务器调优
热门推荐
Arthur的随笔
11-21 2万+
Linux服务器调优 安装一台新的Linux服务器之后都要做些配置调整工作,优化一下系统,以前零零碎碎记录过一些,这里集中整理一下。 Linux内核参数 http://space.itpub.net/17283404/viewspace-694350 net.ipv4.tcp_syncookies = 1 表示开启SYN Cookies。当出现SYN等待队列
Linux服务器调优
weixin_33973609的博客
02-20 330
何为调优?对服务器进行性能的优化,提升服务器性能 服务器调优可分为两种: 第一种为硬件方面: 我们可以通过扩充内存、更换硬盘(选取至少拥有8MB或者16MB cache的硬盘,将IDE硬盘更换为SCSI硬盘)、使用磁盘阵列RAID、升级处理器 第二种为通过调整资源或结束进程从而达到释放内容或资源空间效果。例如: 1、禁用不必要的守护进程,从而节省内存CPU资源     好处:禁用这些不...
优化 Linux 服务器的 9 个小技巧,让 Linux 服务器效率起来
weixin_46818130的博客
09-15 172
net.ipv4.tcp_max_tw_buckets = 5000表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。其实就走进了一个误区,linux本身的内存模式就很好了,为了提高磁盘存取效率,Linux做了一些精心的设计,除了对dentry进行缓存(用于VFS,加速文件路径名到inode的转换),还采取了两种主要Cache方式:Buffer Cache和Page Cache。CentOS默认的状态下,ipv6是被启用的状态。
linux服务器如何优化,Linux服务器优化
weixin_35306450的博客
05-01 332
1.关闭一些服务器所不需要的服务 比如 蓝牙(bluetooth),智能卡(pcscd)等等 2.取消一些不常用的计划任务 例如makewhatis.cro1.关闭一些服务器所不需要的服务比如 蓝牙(bluetooth),智能卡(pcscd)等等2.取消一些不常用的计划任务例如makewhatis.cron(/etc/cron.weekly和/etc/cron.daily下都有),这样用于生成wh...
Linux服务器常见参数监测及调优(一)
qq_26496673的博客
06-13 785
服务器常见参数监测及调优(一) 调优的步骤: 确定应用类型 IO密集型:数据库 CPU密集型:动态页面的web服务器 建立基准数据 安装监控工具 发现问题,发掘原因,调整-->观察--->调整 调优的准则: 有目的的去调优。 一次只对一个领域进行调整。 每次只改一个设置。 建议采用两种以上性能测试工具。 经验很重要。CPU子系统CPU 的占用主要取决于什么样的...
Linux服务器性能优化小结
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
12-18 2962
服务器平均负载指的是,某段时间里面,那些处于可运行态或者不可中断状态的进程的平均数。可运行态:见下图,操作系统线程状态中,处于RUNNING或者READY状态的进程就是可运行态。不可中断状态:下图中因为I/O而导致处于WAITING状态的进程。那么他们为什么称为不可中断态呢?原因其实也很简单,IO操作时常将一些数据写回本地,若此时将这个IO操作打断,这就很可能磁盘数据和进程数据不一致的情况。top:查看CPU使用率、平均负载、僵尸进程等。vmstate。
Linux操作系统性能调优
最新发布
m0_60981735的博客
03-05 2148
Linux服务器运行了很多应用,在高负载下,服务器可能会出现性能瓶颈,例如CPU利用率过高、内存不足、磁盘I/O瓶颈等,从而导致系统卡顿,服务无法正常运行等问题。所以针对以上问题,可以通过调整内核参数和系统的相关组件,优化应用程序来提高服务器的性能和稳定性,避免系统崩溃和服务中断。
Linux性能调优,看这一篇就够了
一口Linux的专栏
03-09 7219
调优是一件因地制宜的事情,生搬硬套可能适得其反。互联网企业,生产环境大多数都是linux操作系统Linux服务器性能调优,是一个重要的课题。linux有成百上千的参数可以调整,对这些参数的理解,可以帮助我们更好的理解服务器工作的原理,帮助更快的找到瓶颈和解决问题。 为了帮助理解,先上一个Linux网络收包图: DMA:是一种无需CPU的参与就可以让外设和系统内存之间进行双向数据传输的硬件机制。使用DMA可以使系统CPU从实际的I/O数据传输过程中摆脱出来,从而大大提高系统的吞吐率 中断:在.
linux攻防比赛_LINUX 遭到SYN FLOOD攻击 LINUXSYN攻防战
weixin_39956612的博客
12-22 274
LINUXSYN攻防战如下(一)SYN攻击原理SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费服务器CPU和内存资源。SYN攻击聊了能影响主机外,还可以危害路由器,防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施.我们知道,在网络中两台电脑建立TCP连接 时需要进行三次握手过程,客户端首先向服务器发关TCP SYN数...
预防SYN攻击配置
yshir
11-03 614
什么是SYN攻击攻击者短时间伪造不同IP地址的SYN报文,快速占满backlog队列,使服务器不能为正常用户服务,SYN攻击是所有黑客攻击事件中最常见又最容易被利用的一 种攻击手法,由来已久,破坏威力巨大。SYN攻击属于DOS攻击的一种, 它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源 TCP连接握手示意图 SYN_SENT 状态 • net....
运维基础(11)Linux服务器性能优化
XMWS-IT
09-01 559
Linux是一种开源操作系统,它支持各种硬件平台,Linux服务器全球知名,它和Windows之间最主要的差异在于,Linux服务器默认情况下一般不提供GUI(图形用户界面),而是命令行界面,它的主要目的是高效处理非交互式进程,响应时间并不是那么重要,相反,能够长时间处理高负载才是最关键的。 Linux高可用服务器集群解决方案让IT系统管理员可以从容应对许多常见的硬件和软件故障,允许多台计算机一起工作,为关键服务正常运行提供保障,系统管理员可以不中断服务执行维护和升级。 Linux服务器有各种用途,如
Linux系统日志报Possible SYN flooding处理方法
qq_24794401的博客
12-28 1869
前提当你在 Linux 服务器上运行dmesg -T命令,看到下面输出,可能会猜测遭受到SYN洪水攻击。上图只是可能遭受到SYN洪水攻击,但不一定是被攻击了。后面讲述如何判定...
Linux系统卡慢之调优方法
jks212454的博客
04-29 4989
Linux系统卡慢之调优方法
关于linux系统调优这一篇文章就够了
m0_67596808的博客
05-06 2417
作为运维工程师来讲,最主要的工作保障:企业门户网站、业务系统、应用程序、软件高效稳定的运行,密切关注业务系统、操作系统性能,对业务系统、操作系统实施性能优化,使其发挥最大的性能; 影响Linux服务器、业务网站等性能因素有哪些层面呢?下面我们就一起看看如何调优吧 [](()1.影响服务器性能因素 1.操作系统方面 1.内存 2.CPU 3.磁盘I/O 4.网络I/O带宽 2.程序应用方面 1.Nginx 2.Mysql 3.Tomcat 4.PHP 5.应用程序代码 [](()2.系..
Linux服务器性能查看分析调优
把握自己。
01-08 3082
linux服务器性能查看 1.1 cpu性能查看 1、查看物理cpu个数:cat /proc/cpuinfo |grep "physical id"|sort|uniq|wc -l 2、查看每个物理cpu中的core个数:cat /proc/cpuinfo |grep "cpu cores"|wc -l 3、逻辑cpu的个数:cat /proc/cpuinfo |grep
linux内核参数sysctl.conf,TCP握手ack,洪水攻击syn,超时关闭wait;(转)
qq_23587541的博客
10-20 2951
  http://www.xshell.net/linux/Linux_sysctl_conf.html 优化Linux内核sysctl.conf参数来提高服务器并发处理能力 PS:在服务器硬件资源额定有限的情况下,最大的压榨服务器的性能,提高服务器的并发处理能力,是很多运维技术人员思考的问题。要提高Linux系统下的负载能力,可以使用nginx等原生并发处理能力就很强的web服务器,如果使...
高并发情况下Linux系统及kernel参数优化
weixin_45727359的博客
09-17 560
众所周知在默认参数情况下Linux对高并发支持并不好,主要受限于单进程最大打开文件数限制、内核TCP参数方面和IO事件分配机制等。下面就从几方面来调整使Linux系统能够支持高并发环境。...
liunx系统优化之 TCP sysctl
weixin_34204057的博客
08-04 314
配置单例子:net.ipv4.ip_forward=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0kernel.sysrq=0kernel.core_uses_pid=1net.ipv4.tcp_syncookies=1kernel.ms...
linux系统调优面试
06-28
Linux系统调优面试涉及到优化Linux系统的性能和稳定性,需要掌握Linux系统的基本原理和调优技巧,包括CPU、内存、磁盘、网络等方面的优化。在面试中,需要展示自己对Linux系统调优的理解和实践经验,能够针对不同的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值