主机给人DDOS攻击了,.是轻量攻击,IP在连接在1万多个, 但是从网上.找到相关攻击资料,教育
设.置如下步骤无效,并不能降轻,请看如下。( 游戏 )
1 还可以调整/pro.c/sys/net/ipv4/netfilter/*中的.参数 鲜花
如根据主机配置适当.调大ip_.conntrack_max,学习
echo "280000" .> /proc/sys/net/ipv4./tcp_max_tw_buckets.
echo ."1" > /proc/sys/net/i.pv4/tcp_rfc1337.
e.cho "1" > /proc/sys/net/ipv4/tc.p_tw_recycle 健康
ec.ho "1". > /proc/sys/net/ipv4/tcp_tw_reuse 女人
echo "3" > /p.roc/sys/n.et/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait.
echo. "3" > /proc/sys/net/ip.v4/netfilter/ip_conntrack_tcp_timeout_syn_recv 外汇
echo "3" > /proc/sys/net/ipv4/netfilter/ip._conn.track_tcp_timeout_syn_sent虚拟主机
echo "1" > /.proc/sys/net/ipv.4/tcp_syncookies电脑
echo "3" > /proc/sy.s/.net/ipv4/tcp_fin_timeout.
echo "1" > /proc/sys/net/ipv4/.icmp_echo._ignore_all--------------彩票
echo "1" > /proc/sys/ne.t/ipv4/.icmp_echo_ignore_broadcasts 外汇
echo "10000". > /proc/sys/net/ipv4/tcp_max_syn_back.log 外汇
2 ## 防止源路由攻擊
echo "0" > /proc/sys/net/ipv4/conf/all/accep.t_source_rout.e电影
## 不接受重.定向的icmp數據包虚拟主机
echo "0" > /pro.c/sys/net/ipv4/con.f/all/accept_redirects .
3.限制单位时间内连接数
如
iptables -N syn-floo.d 外贸
ipt.ables -.A FORWARD -p tcp --syn -j syn-flood .
iptables -A INPUT -p tcp --sy.n -j syn-.flood 婚庆
iptables -A syn-flood. -p tcp --syn -m limit --limit 1/.s --limit.-burst 1 -j ACCEPT 电子
i..ptables -A syn-flood -j DROP( 游戏 )
iptables -A INPUT -i eth0 -p tcp ! --s.yn -m state .--state NEW -j DROP.
i.ptables -A INPUT -p tcp --syn -m state --state NEW -j DROP. 建材
-------------------------.---------.-------------------------- 电子
请各位朋友,帮我看看,是.不.是我配置不对,或规划上是否有问题。 美容
ipta.bles -A syn-flood -p tcp --syn -m limit --l.imit 1/s --limit-burst 1 -j .ACCEPT 电子
这是限制每秒允许一个syn标记IP连接,但.是使用netstat 看一下,这规则无效啊,netstat -an中看到同一个IP的,N.多。.
请问不用重装编译核,有没有好的方.法可以限制一个IP,台许3-5个连接数目.。--------------彩票
先谢谢各位http://upload.bbs.csuboy.com/Mon_1004/126_7021_81d88062aa43df5.gif[/img] 健康
