kangle能否配合调整linux系统内核参数挡攻击

hackaq

kangle能否配合调整linux系统内核参数挡攻击

不知道这个办法能减少点攻击不，起到点作用否

第一个参数tcp_synack_retries = 0是关键，表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，不进行重试，加快回收“半连接”，不要耗光资源。

不修改这个参数，模拟攻击，10秒后被攻击的80端口即无法服务，机器难以ssh登录；用命令netstat -na |grep SYN_RECV检测“半连接”hold住180秒；

修改这个参数为0，再模拟攻击，持续10分钟后被攻击的80端口都可以服务，响应稍慢些而已，只是ssh有时也登录不上；检测“半连接”只hold住3秒即释放掉。

修改这个参数为0的副作用：网络状况很差时，如果对方没收到第二个握手包，可能连接服务器失败，但对于一般网站，用户刷新一次页面即可。这些可以在高峰期或网络状况不好时tcpdump抓包验证下。

根据以前的抓包经验，这种情况很少，但为了保险起见，可以只在被tcp洪水攻击时临时启用这个参数。

tcp_synack_retries默认为5，表示重发5次，每次等待30~40秒，即“半连接”默认hold住大约180秒

小樱

可以的，kangle是系统底层软件，和linux内核挂钩运行，可以通过参数去调优一些
例子：https://bbs.itzmx.com/thread-10752-1-1.html
不完全列举，也可以通过百度检索其它的内核相关优化，看你说的是ddos syn攻击，这种情况最好上硬防，让流量在防火墙上拦截处理，攻击流量不进服务器