linux – SYN Flood建议

概述今天我一直在处理一个看起来像SYN泛滥攻击的服务器.让网站重新上线有点急,所以我们做了这三个步骤,使服务恢复到可用状态.攻击期间服务器负载很低,因此它没有关闭服务器,只是超时了HTTP访问者. 现在我不相信这些解决了这个问题,但他们肯定解决了这些症状,直到洪水消退. >设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv 今天我一直在处理一个看起来像SYN泛滥攻击的服务器.让网站重新上线有点急,所以我们做了这三个步骤,使服务恢复到可用状态.攻击期间服务器负载很低,因此它没有关闭服务器,只是超时了http访问者.

现在我不相信这些解决了这个问题,但他们肯定解决了这些症状,直到洪水消退.

>设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 5
>增加Apache prefork
Serverlimit和MaxClIEnt为512(从256).
>将Apache ListenBackLog设置为1024

我在Web上的其他地方看到了各种iptables –limit选项,但我们得出结论,这些会限制合法流量,因为所请求的网页的每个项目(每个图像等)都会计入此限制,从而阻止页面完全加载.

人们在这些情况下做了什么,并且我们的行动明智,因为负载不是问题？

解决方法 由于我不是iptables的专家,我通常会让两个防火墙中的一个为我处理这个问题.在防御SYN攻击时,APF和 CSF都是很好的防火墙,以及人们可以攻击你的服务器的众多其他方式.

我不知道您的具体配置,但我在“通用”cPanel / Directadmin / Plesk服务器上使用了所有防火墙以及一些使用自定义服务的防火墙,一旦您允许正确的端口,它就可以正常工作.

另外,您可能希望打开SYN Cookies,这有助于缓解SYN打开的攻击.以上两个脚本都有此选项.

总结

以上是内存溢出为你收集整理的linux – SYN Flood建议全部内容，希望文章能够帮你解决linux – SYN Flood建议所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。