详解Linux系统如何防止TCP洪水攻击
#最关键参数,默认为5,修改为0表示不要重发 net.ipv4.tcp_synack_retries=0 #半连接队列长度 net.ipv4.tcp_max_syn_backlog=200000 #系统允许的文件句柄的最大数目,因为连接需要占用文件句柄 fs.file-max=819200 #用来应对突发的大并发connect请求 net.core.somaxconn=65536 #最大的TCP数据接收缓冲(字节) net.core.rmem_max=1024123000 #最大的TCP数据发送缓冲(字节) net.core.wmem_max=16777216 #网络设备接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目 net.core.netdev_max_backlog=165536 #本机主动连接其他机器时的端口分配范围 net.ipv4.ip_local_port_range=1000065535 #……省略其它……
注意,以下参数面对外网时,不要打开。因为副作用很明显,具体原因请google,如果已打开请显式改为0,然后执行sysctl-p关闭。因为经过试验,大量TIME_WAIT状态的连接对系统没太大影响:
#当出现半连接队列溢出时向对方发送syncookies,调大半连接队列后没必要 net.ipv4.tcp_syncookies=0 #TIME_WAIT状态的连接重用功能 net.ipv4.tcp_tw_reuse=0 #时间戳选项,与前面net.ipv4.tcp_tw_reuse参数配合 net.ipv4.tcp_timestamps=0 #TIME_WAIT状态的连接回收功能 net.ipv4.tcp_tw_recycle=0 #当出现半连接队列溢出时向对方发送syncookies,调大半连接队列后没必要 net.ipv4.tcp_syncookies=0 #TIME_WAIT状态的连接重用功能 net.ipv4.tcp_tw_reuse=0 #时间戳选项,与前面net.ipv4.tcp_tw_reuse参数配合 net.ipv4.tcp_timestamps=0 #TIME_WAIT状态的连接回收功能 net.ipv4.tcp_tw_recycle=0
为了处理大量连接,还需改大另一个参数:
#vi/etc/security/limits.conf
在底下添加一行表示允许每个用户都最大可打开409600个文件句柄(包括连接):
*–nofile409600
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。