DoS DDos 防ddos的一些基本设置

ddos，一种分布式的拒绝攻击，一般只能购买一些昂贵的硬件设备硬放，不过在RMB紧张的情况下，也可以利用现有的系统区适当的修改，可以缓解一点。虽然不能阻止，至少做了总比没有做强。

方法如下：

启用syncookies

sysctl -w net.ipv4.tcp_syncookies=1

增加SYN队列的长度

sysctl -w net.ipv4.tcp_max_syn_backlog=10240

降低重试次数

sysctl -w net.ipv4.tcp_synack_retries=2

sysctl -w net.ipv4.tcp_syn_retries=2

 

提高TCP连接能力：

　　net.ipv4.tcp_rmem = 32768
　　net.ipv4.tcp_wmem = 32768
　　net.ipv4.sack=0   #我的Centos 5.4 提示没有这个关键字
 

限制并发连接数(每秒1个，如果嫌多，限制到10秒一个 6/m)

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻击（Ping of Death）

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

如果发起攻击的主机数量较少，可以封ip

iptables -A INPUT -s ***.***.***.*** -j DROP

查看当前的网络状态

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’