Recomendações para configurações sysctl.conf para endurecer Linux contra ataques DDoS?

3

Um artigo recente de UNIXy link tem sugestões para endurecer uma caixa de Linux contra ataques DDoS.

Exemplo desysctl.conf%

net.ipv4.tcp_syncookies = 1

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

kernel.pid_max = 65536

net.ipv4.ip_local_port_range = 9000 65000

Todas as outras recomendações para o endurecimento Linux contra ataques DDoS?

    
por Eureka Ikara 21.11.2010 / 22:54

2 respostas

1

Você também pode desligar os buffers de soquete de leitura / gravação, bem como, o que diminuiria a quantidade de memória cada conexão de entrada requer.

ligação

Você tem que realmente testá-lo para a sua aplicação e o seu hardware (sim, essas configurações podem causar efeitos colaterais estranhos, dependendo do seu NIC), desde que você pode quebrar mais do que você salvar dependendo do seu fluxo de tráfego.

    
por 23.11.2010 / 01:52
0

Você pode definir o seguinte também.

# Turn on SYN-flood protections.  Starting with 2.6.26, there is no loss
# of TCP functionality/features under normal conditions.  When flood
# protections kick in under high unanswered-SYN load, the system
# should remain more stable, with a trade off of some loss of TCP
# functionality/features (e.g. TCP Window scaling).
net.ipv4.tcp_syncookies=1

# Ignore source-routed packets
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0

# Ignore ICMP redirects from non-GW hosts
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.all.secure_redirects=1
net.ipv4.conf.default.secure_redirects=1

# Don't pass traffic between networks or act as a router
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0

# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks.
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1

# Ignore ICMP broadcasts to avoid participating in Smurf attacks
net.ipv4.icmp_echo_ignore_broadcasts=1

# Ignore bad ICMP errors
net.ipv4.icmp_ignore_bogus_error_responses=1

# Log spoofed, source-routed, and redirect packets
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1

# RFC 1337 fix
net.ipv4.tcp_rfc1337=1

# Addresses of mmap base, heap, stack and VDSO page are randomized
kernel.randomize_va_space=2

# Reboot the machine soon after a kernel panic.
kernel.panic=10
    
por 28.10.2016 / 10:42