linux通过内核参数防ddos
1.echo 1 > /proc/sys/net/ipv4/tcp_syncookies
防范SYN DDOS***,打开TCPsyncookies。
2.echo 4096 > /proc/sys/net/ipv4/tcp_max_syn_backlog
选项用于记录那些尚未收到客户端确认信息的连接请求的最大值。
对于有128MB内存的系统而言,此参数的默认值是1024,对小内存的系统则是128。
对于有128MB内存的系统而言,此参数的默认值是1024,对小内存的系统则是128。
3.echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。
4.echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
表示在内核放弃建立连接之前发送SYN包的数量。
5 net.ipv4.tcp_fin_timeout
选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。
正确设置这个值非常重要,有时即使一个负载很小的Web服务器,
也会出现大量的死套接字而产生内存溢出的风险。
选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。
正确设置这个值非常重要,有时即使一个负载很小的Web服务器,
也会出现大量的死套接字而产生内存溢出的风险。
6 net.ipv4.tcp_tw_recycle = 1
选项用于设置启用timewait快速回收。
选项用于设置启用timewait快速回收。
7 net.ipv4.tcp_tw_reuse
选项用于设置开启重用,允许将TIME-WAIT sockets重新用于新的TCP连接。
选项用于设置开启重用,允许将TIME-WAIT sockets重新用于新的TCP连接。
8 net.ipv4.tcp_max_tw_buckets
选项用来设定timewait的数量,默认是180 000,这里设为6000。
9 net.ipv4.ip_local_port_range = 32768 61000
选项用来设定允许系统打开的端口范围。
选项用来设定timewait的数量,默认是180 000,这里设为6000。
9 net.ipv4.ip_local_port_range = 32768 61000
选项用来设定允许系统打开的端口范围。
转载于:https://blog.51cto.com/cwind/956520
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
