防止恶意泛洪规则(Linux系统)

1.减少SYN-超时时间:

iptables -A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -m limit –limit 1/sec –limit-burst 5 -j ACCEPT

2.每秒最多3个syn数据包

iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp –syn -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A syn-flood -j REJECT

3.设置SYN Cookie(防范SYN Flood攻击)

sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=3072
sysctl -w net.ipv4.tcp_synack_retries=0
sysctl -w net.ipv4.tcp_syn_retries=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.forwarding=0
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

4.防止ping命令

(1) sysctl -w net.ipv4.icmp_echo_ignore_all=1
(2) 临时:echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
(0表示允许,1表示禁止)

永久:
在/etc/sysctl.conf 中增加一行
net.ipv4.icmp_echo_ignore_all=1 
(0表示允许,1表示禁止)。

sysctl -p使新配置生效。
(3) 防火墙: iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP 

5.拒绝特定的IP范围

iptables -A INPUT -s 192.168.10.0.1/24 -i eth0 -j Drop

你可能感兴趣的:(Linux系统基本操作,linux,服务器,运维)