Linux内核参数之rp_filter

最新推荐文章于 2022-10-11 21:52:26 发布
最新推荐文章于 2022-10-11 21:52:26 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: linux学习笔记

原文: https://www.jianshu.com/p/717e6cd9d2bb

一、rp_filter参数介绍
rp_filter参数用于控制系统是否开启对数据包源地址的校验。

首先看一下Linux内核文档documentation/networking/ip-sysctl.txt中的描述:

rp_filter - INTEGER

0 - No source validation.

1 - Strict mode as defined in RFC3704 Strict Reverse Path

Each incoming packet is tested against the FIB and if the interface

is not the best reverse path the packet check will fail.

By default failed packets are discarded.

2 - Loose mode as defined in RFC3704 Loose Reverse Path

Each incoming packet’s source address is also tested against the FIB

and if the source address is not reachable via any interface

the packet check will fail.

Current recommended practice in RFC3704 is to enable strict mode

to prevent IP spoofing from DDos attacks. If using asymmetric routing

or other complicated routing, then loose mode is recommended.

The max value from conf/{all,interface}/rp_filter is used

when doing source validation on the {interface}.

Default value is 0. Note that some distributions enable itin startup scripts.

即rp_filter参数有三个值,0、1、2,具体含义:

0:不开启源地址校验。

1:开启严格的反向路径校验。对每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径不是最佳路径,则直接丢弃该数据包。

2:开启松散的反向路径校验。对每个进来的数据包,校验其源地址是否可达,即反向路径是否能通(通过任意网口),如果反向路径不同,则直接丢弃该数据包。

二、rp_filter参数示例
假设机器有2个网口:

eth0: 192.168.1.100

eth1:200.153.1.122

数据包源IP:10.75.153.98,目的IP:200.153.1.122

系统路由表配置为:

[root@localhost ~]# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

default 192.168.1.234 0.0.0.0    UG 0 0 0 eth0

192.168.120.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

10.75.153.98 0.0.0.0 255.255.255.0 U 0 0 0 eth0

系统rp_filter参数的配置为:

[root@localhost ~]# sysctl -a | grep rp_filter

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.default.rp_filter=1

如上所示,数据包发到了eth1网卡,如果这时候开启了rp_filter参数,并配置为1,则系统会严格校验数据包的反向路径。从路由表中可以看出,返回响应时数据包要从eth0网卡出,即请求数据包进的网卡和响应数据包出的网卡不是同一个网卡,这时候系统会判断该反向路径不是最佳路径,而直接丢弃该请求数据包。(业务进程也收不到该请求数据包)

解决办法:

1.修改路由表,使响应数据包从eth1出,即保证请求数据包进的网卡和响应数据包出的网卡为同一个网卡。

2.关闭rp_filter参数。(注意all和default的参数都要改)

1)修改/etc/sysctl.conf文件,然后sysctl -p刷新到内存。

2)使用sysctl -w直接写入内存:sysctl -w net.ipv4.conf.all.rp_filter=0

3)修改/proc文件系统: echo “0”>/proc/sys/net/ipv4/conf/all/rp_filter

三、开启rp_filter参数的作用
1. 减少DDoS攻击

校验数据包的反向路径,如果反向路径不合适,则直接丢弃数据包,避免过多的无效连接消耗系统资源。

  1. 防止IP Spoofing

校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。

Ps:两种常见的非法攻击手段:
1. DDos攻击(Distribute Deny of Service)

分布式拒绝服务攻击。通过构造大量的无用数据包向目标服务发起请求,占用目标服务主机大量的资源,还可能造成网络拥塞,进而影响到正常用户的访问。

  1. IP Spoofing(IP欺骗)

IP Spoofing指一个客户端通过伪造源IP,冒充另外一个客户端与目标服务进行通信,从而达到某些不可告人的秘密。

作者:Mr萝卜
链接:https://www.jianshu.com/p/717e6cd9d2bb
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

rainharder
关注
专栏目录
Linux: sysctl: rp_filter; 包到了内核,没有到socket,火星包martia
mzhan017的博客
10-25 201
【代码】Linux: sysctl: rp_filter;包到了内核,没有到socket,火星包martia。
LINUX内核常用参数
m0_58562922的博客
03-10 984
vm.swappiness=0 # 禁止使用 swap 空间,只有当系统 OOM 时才允许使用它 vm.overcommit_memory=1 # 不检查物理内存是否够用 vm.panic_on_oom=0 # 开启 OOM vm.max_map_count = 262144 fs.inotify.max_user_instances=8192 # 表示每一个real user ID可创建的inotify instatnces的数量上限,默认128. fs.inotify.max_user_watches
linux 多播网卡设置,rp_filterLinux下多网卡接收多播的问题
weixin_33560311的博客
05-01 1295
工作中曾遇到一个很奇怪的问题,我奉命调查。事情是这样的,有一台双网卡的机器,上面装有Fedora8,运行一个程序。该程序分别在两个网口上都接收多播数据,程序运行是正常的。但是,后来升级系统到Fedora13,发现就出问题了:在运行几秒钟后,第2个网口上就接收不到多播数据了。能不能收到多播,取决于交换机是不是往这个网口上转发多播数据。程序在起动的时候,会发一个IGMP的AddMembership的消...
内核rp_filter参数
huangzx3的博客
07-30 555
内核文档:https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt搜其关键字,可见rp_filter定义如下: rp_filter - INTEGER 0 - No source validation. 1 - Strict mode as defined in RFC3704 Strict Reverse Pat...
Linux rp_filter和arp_filter参数浅析
jiayu的博客
04-21 1952
​ 在默认配置下,只要ARP请求中的目标IP配置在本机,无论其是否配置在收到ARP请求数据包的接口上,Linux收包接口都会以身MAC地址发送ARP响应。若是不希望接口响应所有本机IP,可以通过修改arp_ignore参数来调整 测试环境 网卡 IP 机器1-ens33 192.168.1.11 机器1-ens36 192.168.1.12 机器2-ens160 192.168.1.15 vmare1 192.168.1.1 实验 # 查看网络信息 [root@node1 ~
linux服务器基本安全配置
davidliu0327的专栏
10-25 1395
安装注意 1.删除系统特殊的的用户帐号: 禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 #为删除你系统上的用户,用下面的命令: [root@c1gstudio]# userdel username #批量删除方式 #这里删除"adm lp syn
linux】修改arp_ignore、arp_announce、rp_filter、accept_local |内核调优
小鱼菜鸟的博客
10-04 1430
arp_announce : INTEGER 对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。 0:本机所有IP地址都向任何一个接口通告ARP报文。 1:尽量仅向该网卡回应与该网段匹配的ARP报文。 2:只向该网卡回应与该网段匹配的ARP报文。 arp_ignore : INTEGER 定义对目标地址为本地IP的ARP询问不同的应...
Linux rp_filter配置引起的组播断流问题
weixin_30530523的博客
08-30 1409
引子   前一段时间处理一个线上问题,服务器拉组播码流,但是每隔3-4分钟就断流一次,引起服务异常。排除了交换机和组播网络的问题后, 确认问题还是在服务器侧。 组播为什么断流?   前方工程人员抓包确认,交换机发送了igmp general query报文,但是服务器没有响应组播report报文,交换机上igmp条目超时退出,导致断流。   抓包分析如下: ...
12.抽象类abstract、接口interface与枚举enum
computer408的博客
01-20 451
1.抽象类
Linux下网卡接收数据包过滤关闭设置
最新发布
无知的我
10-11 3916
在设备使用linux操作系统(湖南麒麟)时,当外界通过网络发组播包给该设备对应网卡时,有可能会出现网卡通过socket无法接收网络包的情况。此时在linux下通过tcpdump能够抓到网卡接收到的网络包,只是该网络包未传递给上层应用。出现这种情况时,通常是linux系统下默认对网卡设置了过滤条件,导致底层能收到包,但被上层过滤。可以通过关闭网卡过滤条件进行解决。在/etc/sysctl.conf内。添加后重启系统生效。
/etc/sysctl.conf之rp_filter参数
weixin_43359093的博客
12-15 3507
阿里云负载均衡有些服务器访问不到造成的问题,解决方法: 看/etc/sysctl.conf 文件中是否有包含以下3行参数 : net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0 #eth0为内网端口 手动添加后执行sysctl -p 使参生效。 原理: rp_filter参数用于控制系统是否开启对数据包源地址的校验 即rp_filter参数有三个值,0、
linux】修改arp_ignore、arp_announce、arp_filter、accept_local |内核调优
bandaoyu的note
09-02 8799
对网络接口上本地IP地址发出的ARP报文作出相应级别的限制。0:本机所有IP地址都向任何一个接口通告ARP报文。1:尽量仅向该网卡回应与该网段匹配的ARP报文。2:只向该网卡回应与该网段匹配的ARP报文。
Kubernetes(K8S)内核优化常用参数详解
小云的博客
02-10 4265
net.ipv4.tcp_keepalive_time=600 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_keepalive_probes=...
linux 环境内核调优,linux内核调优生产环境实例及详解(服务器内核优化)
weixin_39693971的博客
05-05 239
cat>/etc/sysctl.conf<net.ipv4.ip_forward=0net.ipv4.conf.all.rp_filter=1net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0kernel.sysrq=0kernel.core_uses_pid...
Linux安全管理-iptables防火墙
jiaofan_yun的博客
12-27 2458
一、什么是防火墙 防火墙就是通过定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制,通俗的说就是分析与过滤进出我们主机(或者是我们所管理的网络)的数据包。 二、防火墙分类 防火墙分为: 硬件防火墙 软件防火墙 软件防火墙主要有: iptables TCP Wrappers 注:我们经常用的是iptables,而TCP Wrappers是可以根据服务名称进行过滤的,因此与启动的端口无关。他有一个重大的缺点,就是必须是xinetd所能管理到的服务。这里就不多做介绍,我们重点介绍一下ip
修改linux内核参数的命令,sysctl---调整linux内核参数
weixin_27510107的博客
04-29 626
sysctl是一个允许您改变正在运行中的Linux系统的接口。它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能。用sysctl可以读取设置超过五百个系统变量。基于这点,sysctl(8) 提供两个功能:读取和修改系统设置。常用查看所有可读变量:[xt@butbueatiful ~] sysctl -a读一个指定的变量,例如 kernel.msg...
使用 URPF 来阻止IP地址欺骗( IP Address Spoofing)
weixin_34004576的博客
07-22 531
【实验说明】 上一个实验是《使用ACL 来预防IP地址欺骗》,但是配置起来相对复杂,本实验我们将使用URPF(Unicast Reverse Path Forwarding)来轻松实现预防部分IP地址欺骗,URPF的知识请查看《Unicast RPF,单播逆向转发》 文章 【实验拓扑】 IOS:c2691-advsecurityk9-mz.124-11...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值