AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Linux内核参数调优以应对SYN攻击

2024-02-06 86
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: Linux内核参数调优以应对SYN攻击

今天继续给大家介绍Linux运维相关知识,本文主要内容是Linux内核参数调优以应对SYN攻击。

一、SYN攻击简介
所谓SYN攻击,即利用TCP三次握手原理,向服务器发送大量的SYN数据包,却不响应服务器反馈的SYN+ACK数据包,导致服务器的网络、内存等资源被大量占用,从而导致正常用户无法访问,起到了拒绝服务攻击的目的。
如果想要杜绝SYN攻击,那么我们应该设置服务器减少对ACK数据包的等待时间,减少对SYN+ACK数据包的重发次数,增大网络连接队列的长度等等,具体参数设置如下:

二、相关内核参数简介
防止SYN攻击的相关内核参数如下所示:
1、net.ipv4.tcp_synack_retries
该参数表示服务器在收到客户端的SYN数据包并发送SYN+ACK数据包后,如果没有收到客户端的ACK数据包的重发SYN+ACK数据包的次数。在默认情况下,该值设置为5,即表示服务器会尝试发送5次SYN+ACK数据包,如果依旧没有收到响应,则中断链接,不再进行尝试。
2、net.ipv4.tcp_max_syn_backlog
该参数表示SYN队列的长度,默认为128,我们可以将该参数设置为20480,以容纳更多的网络链接数。
3、fs.file-max
该参数表示系统允许的文件句柄的最大数目,TCP连接的建立需要占用文件句柄,因此我们可以将该参数设置的大一点以应对大量的TCP链接请求。
4、net.core.somaxconn
该参数表示socket监听队列长度,系统在默认情况下会将已经收到但是还没有处理的request请求放入到该队列中,当该队列满后就无法处理其他的request请求。因此增大该队列的长度可以应对更多的TCP连接请求。但是也会消耗系统的内存。
5、net.core.wmem_max
该参数表示最大的TCP数据发送缓存,单位为字节。
6、net.core.rmem_max
该参数表示最大的TCP数据接收缓存,单位为字节。
7、net.core.netdev_max_backlog
该参数表示当网络设备接收数据包的速率大于内核处理数据包速率时,允许将数据包送入队列的最大数目。
8、net.ipv4.ip_local_port_range
该参数表示本机主动连接其他设备时的端口分配范围,通常设置为10000-65535,防止占用知名端口。
9、net.ipv4.tcp_syncookies
该参数默认为0,表示关闭SYN Cookies,我们可以将该参数设置为1表示开启该功能。SYN Cookies表示当出现SYN等待队列溢出时,启用cookies来处理,可以防范少量的SYN攻击。
10、net.ipv4.tcp_tw_reuse
该参数如果设置为1,则表示允许将TIME-WAIT sockets重新应用于新的TCP连接,如果设置为0,则表示关闭该功能。在默认情况下,该参数设置为0.
11、net.ipv4.tcp_syn_retries
表示当该设备向其他设备发送TCP SYN包尝试建立TCP连接时,如果对方不响应(有可能是网络丢包或者是对方服务忙),则重新发送TCP SYN数据包的次数。
12、net.ipv4.tcp_tw_recycle
该参数表示是否开启TCP连接中TIME-WAIT sockets快速回收,在默认情况下设置为0,表示不回收,如果设置为1,则表示回收。
13、net.ipv4.tcp_fin_timeout
该参数表示对于本端断开的socket连接,TCP保持在FIN-WAIT-2状态的时间,默认为60。

三、最终配置
最终,综合上述参数,我们需要在/etc/sysctl.conf文件的最后写入如下配置:

net.ipv4.tcp_synack_retries = 0
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_max_syn_backlog = 20480
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 10
fs.file-max = 819200
net.core.somaxconn = 65536
net.core.rmem_max = 1024123000
net.core.wmem_max = 16777126
net.core.netdev_max_backlog = 165536
net.ipv4.ip_local_port_range = 10000 65535
1
2
3
4
5
6
7
8
9
10
11
12
13
完成后的配置文件如下所示:

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200
————————————————

                        版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/weixin_40228200/article/details/125635110

文章标签:
容器服务Kubernetes版
网络协议
Linux
缓存
运维
关键词:
Linux内核
Linux调优
Linux攻击
Linux参数
Linux内核参数
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
GG2020gg
目录
相关文章
jiashufen
|
23天前
|
存储 安全 Linux
探索Linux操作系统的心脏:内核
在这篇文章中,我们将深入探讨Linux操作系统的核心—内核。通过简单易懂的语言和比喻,我们会发现内核是如何像心脏一样为系统提供动力,处理数据,并保持一切顺畅运行。从文件系统的管理到进程调度,再到设备驱动,我们将一探究竟,看看内核是怎样支撑起整个操作系统的大厦。无论你是计算机新手还是资深用户,这篇文章都将带你领略Linux内核的魅力,让你对这台复杂机器的内部运作有一个清晰的认识。
jiashufen
52 3
1387503158665997
|
1月前
|
缓存 安全 Unix
Linux 内核黑客不可靠指南【ChatGPT】
Linux 内核黑客不可靠指南【ChatGPT】
1387503158665997
36 7
1387503158665997
|
1月前
|
网络协议 Ubuntu Linux
用Qemu模拟vexpress-a9 (三)--- 实现用u-boot引导Linux内核
用Qemu模拟vexpress-a9 (三)--- 实现用u-boot引导Linux内核
1387503158665997
26 1
1387503158665997
|
1月前
|
Linux
用clang编译Linux内核
用clang编译Linux内核
1387503158665997
41 1
1387503158665997
|
1月前
|
Linux API 调度
关于在Linux内核中使用不同延迟/休眠机制 【ChatGPT】
关于在Linux内核中使用不同延迟/休眠机制 【ChatGPT】
1387503158665997
14 0
科技小能手
|
Linux
Linux系统基础调优
科技小能手
802 0
vohelon
|
1天前
|
Linux
Linux常用命令包括
Linux常用命令包括
vohelon
10 5
vohelon
|
1天前
|
Linux
Linux命令
Linux命令
vohelon
12 5
yuanzhengme
|
5天前
|
Linux Python Perl
Linux命令删除文件里的字符串
Linux命令删除文件里的字符串
yuanzhengme
17 7
游客qeoynko2nmbgk
|
6天前
|
Shell Linux
Linux shell编程学习笔记82:w命令——一览无余
Linux shell编程学习笔记82:w命令——一览无余
游客qeoynko2nmbgk
29 7

热门文章

最新文章

  • 1
    Linux命令行操作:使用“more“命令进行分页显示
  • 2
    Linux 2 unit1 虚拟机,自动安装
  • 3
    intellj下打的jar包在linux服务器删执行报错
  • 4
    Linux下群集服务简介&lvs集群详解
  • 5
    老男孩教育每日一题-day59-Linux root 密码忘了,如何找回来?
  • 6
    fedora学习笔记 6:浅谈linux文件系统
  • 7
    linux python eclipse 安装
  • 8
    使用Android、S3C6410开发板和Ubuntu测试Linux驱动
  • 9
    VM 6+linux4.4+裸设备+ORACLE10G RAC 安装
  • 10
    【原创】手把手教你Linux下的多线程设计--Linux下多线程编程详解(四)
  • 1
    2024年最新整理的Kubernetes命令大全,非常详细,值得收藏!
    91
  • 2
    g命令:Linux 中 ls 命令的优雅替代方案
    60
  • 3
    FFmpeg开发笔记(十六)Linux交叉编译Android的OpenSSL库
    89
  • 4
    深入理解 Linux 文件系统的权限控制
    143
  • 5
    linux性能分析之内存分析(free,vmstat,top,ps,pmap等工具使用介绍)
    120
  • 6
    如何在 Linux 上设置 SSH 密钥身份验证?
    311
  • 7
    如何在 Linux 中查找父进程 ID (PPID)?
    597
  • 8
    如何检查 Linux 中进程运行了多长时间?
    99
  • 9
    Yarn介绍及快速安装Debian/Ubuntu Linux
    533
  • 10
    网络安全中Dos和linux常用命令总结
    126

    • 相关课程

    更多
  • Linux Web服务器Nginx搭建与配置
  • Linux用户和组管理
  • Linux服务器运维基本操作
  • 计算机基础与Linux入门
  • Linux企业运维实战 - 入门及常用命令
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    无影云桌面