linux系统怎么防止DDOS攻击VIP免费

用 squid 是利用端口映射的功能，可以将80 端口转换一下，其实一般的DDOS 攻击可以修改/proc/sys/net/ipv4 /tcp_max_syn_backlog 里的参数就行了，默认参数一般都很小，设为8000 以上，一般的DDOS 攻击就可以解决了。如果上升到 timeout 阶段，可以将/proc/sys/net/ipv4/tcp_fin_timeout 设小点。 大家都在讨论 DDOS，个人认为目前没有真正解决的方法，只是在缓冲和防御能力上的扩充，跟 黑客 玩一个心理战术，看谁坚持到最后，网上也有很多做法，例如 syncookies 等，就是复杂点。 sysctl-wnet.ipv4.icmp_echo_ignore_all=1 echo1>/proc/sys/net/ipv4/tcp_syncookies sysctl-wnet.ipv4.tcp_max_syn_backlog="2048" sysctl-wnet.ipv4.tcp_synack_retries="3" iptables-AINPUT-ieth0-ptcp--syn-jsyn-flood #Limit12connectionspersecond(burstto24) iptables-Asyn-flood-mlimit--limit12/s--limit-burst24-jRETURN 这个地方可以试着该该： iptbales-AFORWARD-ptcp--syn-mlimit--limit1/s-jACCEPT 虚拟主机服务商在运营过程中可能会受到 黑客 攻击，常见的 攻击 方式有 SYN，DDOS 等。 通过更换IP，查找被 攻击 的站点可能避开 攻击 ，但是中断服务的时间比较长。比较彻底 的解决方法是添置硬件 防火墙 。不过，硬件 防火墙 价格比较昂贵。可以考虑利用Linux 系统本身提供的 防火墙 功能来防御。 1.抵御 SYN SYN 攻击是利用TCP/IP 协议 3 次握手的原理，发送大量的建立连接的 网络 包，但不实际 建立连接，最终导致被 攻击 服务器的 网络 队列被占满，无法被正常用户访问。 Linux 内核提供了若干SYN 相关的配置，用命令： sysctl-a|grepsyn 看到： net.ipv4.tcp_max_syn_backlog=1024 net.ipv4.tcp_syncookies=0 net.ipv4.tcp_synack_retries=5 net.ipv4.tcp_syn_retries=5 tcp_max_syn_backlog 是SYN 队列的长度，tcp_syncookies 是一个开关，是否打开SYNCookie 功能，该功能可以防止部分SYN 攻击。tcp_synack_retries 和 tcp_syn_retries 定义 SYN 的重试次数。 加大 SYN 队列长度可以容纳更多等待连接的 网络 连接数，打开SYNCookie 功能可以阻止部分 SYN 攻击，降低重试次数也有一定效果。 调整上述设置的方法是： 增加 SYN 队列长度到2048： sysctl-wnet.ipv4.tcp_max_syn_backlog=2048 打开SYNCOOKIE 功能： sysctl-wnet.ipv4.tcp_syncookie...