kangle能否配合调整linux系统内核参数挡攻击
kangle能否配合调整linux系统内核参数挡攻击不知道这个办法能减少点攻击不,起到点作用否
第一个参数tcp_synack_retries = 0是关键,表示回应第二个握手包(SYN+ACK包)给客户端IP后,如果收不到第三次握手包(ACK包)后,不进行重试,加快回收“半连接”,不要耗光资源。
不修改这个参数,模拟攻击,10秒后被攻击的80端口即无法服务,机器难以ssh登录;用命令netstat -na |grep SYN_RECV检测“半连接”hold住180秒;
修改这个参数为0,再模拟攻击,持续10分钟后被攻击的80端口都可以服务,响应稍慢些而已,只是ssh有时也登录不上;检测“半连接”只hold住3秒即释放掉。
修改这个参数为0的副作用:网络状况很差时,如果对方没收到第二个握手包,可能连接服务器失败,但对于一般网站,用户刷新一次页面即可。这些可以在高峰期或网络状况不好时tcpdump抓包验证下。
根据以前的抓包经验,这种情况很少,但为了保险起见,可以只在被tcp洪水攻击时临时启用这个参数。
tcp_synack_retries默认为5,表示重发5次,每次等待30~40秒,即“半连接”默认hold住大约180秒 可以的,kangle是系统底层软件,和linux内核挂钩运行,可以通过参数去调优一些
例子:https://bbs.itzmx.com/thread-10752-1-1.html
不完全列举,也可以通过百度检索其它的内核相关优化,看你说的是ddos syn攻击,这种情况最好上硬防,让流量在防火墙上拦截处理,攻击流量不进服务器
页:
[1]