用 squid 是利用端口映射的功能,可以将80 端口转换一下,其实一般的DDOS 攻击可以修改/proc/sys/net/ipv4 /tcp_max_syn_backlog 里的参数就行了,默认参数一般都很小,设为8000 以上,一般的DDOS 攻击就可以解决了。如果上升到 timeout 阶段,可以将/proc/sys/net/ipv4/tcp_fin_timeout 设小点。 大家都在讨论 DDOS,个人认为目前没有真正解决的方法,只是在缓冲和防御能力上的扩充,跟 黑客 玩一个心理战术,看谁坚持到最后,网上也有很多做法,例如 syncookies 等,就是复杂点。 sysctl-wnet.ipv4.icmp_echo_ignore_all=1 echo1>/proc/sys/net/ipv4/tcp_syncookies sysctl-wnet.ipv4.tcp_max_syn_backlog="2048" sysctl-wnet.ipv4.tcp_synack_retries="3" iptables-AINPUT-ieth0-ptcp--syn-jsyn-flood #Limit12connectionspersecond(burstto24) iptables-Asyn-flood-mlimit--limit12/s--limit-burst24-jRETURN 这个地方可以试着该该: iptbales-AFORWARD-ptcp--syn-mlimit--limit1/s-jACCEPT 虚拟主机服务商在运营过程中可能会受到 黑客 攻击,常见的 攻击 方式有 SYN,DDOS 等。 通过更换IP,查找被 攻击 的站点可能避开 攻击 ,但是中断服务的时间比较长。比较彻底 的解决方法是添置硬件 防火墙 。不过,硬件 防火墙 价格比较昂贵。可以考虑利用Linux 系统本身提供的 防火墙 功能来防御。 1.抵御 SYN SYN 攻击是利用TCP/IP 协议 3 次握手的原理,发送大量的建立连接的 网络 包,但不实际 建立连接,最终导致被 攻击 服务器的 网络 队列被占满,无法被正常用户访问。 Linux 内核提供了若干SYN 相关的配置,用命令: sysctl-a|grepsyn 看到: net.ipv4.tcp_max_syn_backlog=1024 net.ipv4.tcp_syncookies=0 net.ipv4.tcp_synack_retries=5 net.ipv4.tcp_syn_retries=5 tcp_max_syn_backlog 是SYN 队列的长度,tcp_syncookies 是一个开关,是否打开SYNCookie 功能,该功能可以防止部分SYN 攻击。tcp_synack_retries 和 tcp_syn_retries 定义 SYN 的重试次数。 加大 SYN 队列长度可以容纳更多等待连接的 网络 连接数,打开SYNCookie 功能可以阻止部分 SYN 攻击,降低重试次数也有一定效果。 调整上述设置的方法是: 增加 SYN 队列长度到2048: sysctl-wnet.ipv4.tcp_max_syn_backlog=2048 打开SYNCOOKIE 功能: sysctl-wnet.ipv4.tcp_syncookie...
