1.TCP keepalive TCP连接保鲜设置
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_timeecho 15 > /proc/sys/net/ipv4/tcp_keepalive_intvlecho 5 > /proc/sys/net/ipv4/tcp_keepalive_probes
keepalive是TCP保鲜定时器。当网络两端建立了TCP连接之后,闲置idle(双方没有任何数据流发送往来)了tcp_keepalive_time后,服务器内核就会尝试向客户端发送侦测包,来判断TCP连接状况(有可能客户端崩溃、强制关闭了应用、主机不可达等等)。如果没有收到对方的回答(ack包),则会在tcp_keepalive_intvl后再次尝试发送侦测包,直到收到对对方的ack,如果一直没有收到对方的ack,一共会尝试tcp_keepalive_probes次,每次的间隔时间在这里分别是15s, 30s, 45s, 60s, 75s。如果尝试tcp_keepalive_probes,依然没有收到对方的ack包,则会丢弃该TCP连接。
2. syn cookies设置
echo 0 > /proc/sys/net/ipv4/tcp_syncookies在CentOS5.3中,该选项默认值是1,即启用syn cookies功能。我们建议先关闭,直到确定受到syn flood攻击的时候再开启syn cookies功能,有效地防止syn flood攻击。也可以通过iptables规则拒绝syn flood攻击。
3.TCP 连接建立设置
echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlogecho 2 > /proc/sys/net/ipv4/tcp_syn_retriesecho 2 > /proc/sys/net/ipv4/tcp_synack_retriestcp_max_syn_backlog SYN队列的长度,时常称之为未建立连接队列。系统内核维护着这样的一个队列,用于容纳状态为SYN_RESC的TCP连接(half-open connection),即那些依然尚未得到客户端确认(ack)的TCP连接请求。加大该值,可以容纳更多的等待连接的网络连接数。
tcp_syn_retries 新建TCP连接请求,需要发送一个SYN包,该值决定内核需要尝试发送多少次syn连接请求才决定放弃建立连接。默认值是5. 对于高负责且通信良好的物理网络而言,调整为2
tcp_synack_retries 对于远端SYN连接请求,内核会发送SYN+ACK数据包来确认收到了上一个SYN连接请求包,然后等待远端的确认(ack数据包)。该值则指定了内核会向远端发送tcp_synack_retires次SYN+ACK数据包。默认设定值是5,可以调整为2
4. TCP 连接断开相关设置
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeoutecho 15000 > /proc/sys/net/ipv4/tcp_max_tw_bucketsecho 1 > /proc/sys/net/ipv4/tcp_tw_reuseecho 1 > /proc/sys/net/ipv4/tcp_tw_recycletcp_fin_timeout 对于由本端主动断开连接的TCP连接,本端会主动发送一个FIN数据报,在收到远端ACK后,且并没有收到远端FIN包之前,该TCP连接的状态是FIN_WAIT_2状态,此时当远端关闭了应用,网络不可达(拔网张),程序不可断僵死等等,本端会一直保留状态为FIN_WAIT_2状态的TCP连接,该值tcp_fin_timeout则指定了状态为FIN_WAIT_2的TCP连接保存多长时间,一个FIN_WAIT_2的TCP连接最多占1.5k内存。系统默认值是60秒,可以将此值调整为30秒,甚至10秒。
tcp_max_tw_buckets 系统同时处理TIME_WAIT sockets数目。如果一旦TIME_WAIT tcp连接数超过了这个数目,系统会强制清除并且显示警告消息。设立该限制,主要是防止那些简单的DoS攻击,加大该值有可能消耗更多的内存资源。如果TIME_WAIT socket过多,则有可能耗尽内存资源。默认值是18w,可以将此值设置为5000~30000 tcp_tw_resue 是否可以使用TIME_WAIT tcp连接用于建立新的tcp连接。
tcp_tw_recycle 是否开启快带回收TIME_WAIT tcp连接的功能。
5. tcp 内存资源使用相参数设定
echo 16777216 > /proc/sys/net/core/rmem_maxecho 16777216 > /proc/sys/net/core/wmem_maxcat /proc/sys/net/ipv4/tcp_memecho “4096 65536 16777216″ > /proc/sys/net/ipv4/tcp_rmemecho “4096 87380 16777216″ > /proc/sys/net/ipv4/tcp_wmemrmem_max 定义了接收窗口可以使用的最大值,可以根据BDP值进行调节。
wmem_max 定义了发送窗口可以使用的最大值,可以根据BDP什值进行调整。
tcp_mem [low, pressure, high] TCP用这三个值来跟踪内存使用情况,来限定资源占用。通常情况下,在系统boot之时,内核会根据可用内存总数计算出这些值。如果出现了Out of socket memory,则可以试着修改这个参数。
1)low: 当TCP使用了低于该值的内存页面数时,TCP不会考滤释放内存。
2)pressure: 当TCP使用了超过该值的内存页面数量,TCP试图稳定其对内存的占用,进入pressure模式,直到内存消耗达于low值,退出该模式。
3)hight:允许所有tcp sockets用于排队缓冲数据报的内存页数。
tcp_rmem [min, default, max]
1)min 为每个TCP连接(tcp socket)预留用于接收缓冲的内存数量,即使在内存出现紧张情况下TCP socket都至少会有这么多数量的内存用于接收缓冲。
2)default 为TCP socket预留用于接收缓冲的内存数量,默认情况下该值影响其它协议使用的 rmem_default的值,所以有可能被rmem_default覆盖。
3)max 该值为每个tcp连接(tcp socket)用于接收缓冲的内存最大值。该值不会影响wmem_max的值,设置了选项参数 SO_SNDBUF则不受该值影响。
tcp_wmem [min, default, max] 如上(tcp_rmen)只不过用于发送缓存。
注:
1)可以通过sysctl -w 或者写入/etc/sysctl.conf永久保存
2)性能调优仅在于需要的时候进行调整,调整以后需要采集数据与基准测试数据进行比较。建议,不需要盲从地调整这些参数
相关标签: Centos防范SYN.防护攻击、
本文地址:https://aiyouzz.com/hlwitwz/12.html
Centos7防范SYN
100分导航,专注于各类精品网站收录,专业提交百度、搜狗、360等收录,为您提供免费自动收录网站,友情链接交换平台技术导航,免费收录网|网站导航大全|是汇集互联网优质网址收录导航的网站,本站立志成为综合网址导航的领导者和全国知名导航网的领先者!
999啦收录网是一个免费的网站目录,一个综合性网址大全,分类齐全我们收录各类正规网站,所有网站均通过人工审核方可展示。是广大网友、站长朋友必备网址大全,一旦收录永不删除,免费的网站提交入口。
暂无描述...
微硅粉,硅粉,硅灰,是集生产微硅粉,硅粉,硅灰、科研、开发和市场营销为一体的大型硅粉专业生产企业,年出厂{增密微硅粉}和{原始密度}的(又称硅粉、硅灰,SilicaFume或Microsilica)各18500吨。可以提供不同含量、等级、用途的优质微硅粉产品和服务。
上海锦隆驾校位于上海宝山区富锦路2028号,报名电话:021-36512585,目前2024年锦隆驾校最新学费是3980元,明码标价收费透明,报名就上车不排队,驾照类型涵盖手动挡C1和自动挡C2,方便不同需求的学员学车,一人一车教学,锦隆驾校适合宝山、静安、杨浦、虹口、黄浦、长宁、普陀学车,地铁一号线富锦路1号口出来,只需步行3分钟就可直达锦隆驾校门口,学员完全可以自由安排时间过来,随到随学,不管平时还是周末都非常的方便
山东欣烨化工研发、生产、销售六水三氯化铁,对苯醌,对苯二酚,2-氟-3-硝基苯甲酸,医药中间体,农药中间体,橡塑助剂,阻燃剂,酚醛树脂等系列产品,
苏州仁恩机电科技有限公司提供真空回流焊设备、半导体焊接设备、固化设备,定制化工艺制程设备等,是集成全新半导体先进封装进口设备及材料和高端电子制造相关设备解决方案集成供应商。
安徽讯煌电梯工程有限公司是集电梯设计、制造、安装、改造及维保为一体的厂家,主要承接各类大小型乘客电梯,安徽别墅电梯,医用电梯安装,服务覆盖全国,欢迎新老客户来电洽谈合作,李经理18356525466。
合肥恒硕钢结构工程有限公司是一家从事合肥钢结构厂房、合肥钢结构雨棚、安徽钢结构楼梯的公司,联系人:周经理,欢迎咨询我们。
