來源網址:http://www.friendschat.idv.tw/xoops/modules/smartsection/item.php?itemid=15
來源:遊手好閒 巴男的部落格
ps. 裏面有幾個地方有問題, 已修正
--------------------------------------------------------------------
◎忽略發送至廣播位置的PING封包有些惡意者會假造來源IP然後發送PING封包發送至廣播位址,區域網路所有主機收到後會將PING封包回應至假造的來源IP,如此將導致該來源IP的主機瞬間收到龐大的流量。
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcast
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
◎忽略有問題的ICMP封包啟動針對無效錯誤訊息的防禦
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
◎阻擋來源路由封包不要接受來源路由 (source route) 的封包。攻擊者可以使用源頭路由來產生假裝本來就在您內部網路產生的封包,不過將會從他來的路徑路由回去,所以攻擊者可以危害您的網路。源頭路由很少在正當的狀況下被使用
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
◎阻擋ICMP Redirect封包 ICMP Redirect封包是路由器用來通知主機更改路由表的工具,所以惡意者可能使用此功能修改路由表,為了安全起見,最好忽略此封包
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
◎禁止主機送出ICMP Redirect封包剛剛提到阻擋從外面到內的ICMP Redirect封包,萬一那天被入侵了你的主機也有可能被人當做入侵別人的工具,所以要禁止ICMP Redirect封包從你的主機送出
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
◎ 使用SYN cookies 功能防止SYN Flood 攻擊 SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(分散式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請 求,從而使得被攻擊方資源耗盡(CPU滿負荷或記憶體不足)的攻擊方式。所以必須要開啟SYN cookies 功能,以避免受到SYN Flood攻擊
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
◎縮短TCP連線的重試次數與逾時時間縮短TCP連線的重試次數與逾時時間,以減少DoS的危害
echo "3" > /proc/sys/net/ipv4/tcp_retriesl
echo "3" > /proc/sys/net/ipv4/tcp_retries1
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "0" > /proc/sys/net/ipv4/tcp_windows_scaling
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "0" > /proc/sys/net/ipv4/tcp_timestamps
沒有留言:
張貼留言