linux 服务器防 DDOS 的一些配置

张无忌

1. 增加 SYN 队列长度

[Plain Text] 纯文本查看 复制代码

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

2. 打开SYN COOKIE功能

[Plain Text] 纯文本查看 复制代码

sysctl -w net.ipv4.tcp_syncookies=1

3. 降低重试次数

[Plain Text] 纯文本查看 复制代码

sysctl -w net.ipv4.tcp_synack_retries=3 
sysctl -w net.ipv4.tcp_syn_retries=3

(可以将上面命令写入 /etc/rc.d/rc.local 文件中，开机时可自动被执行)

4. 防止 Sync Flood

[Plain Text] 纯文本查看 复制代码

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

(-limit 1/s 限制syn并发数每秒1次，可自定义)

5.防止各种端口扫描

[Plain Text] 纯文本查看 复制代码

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

6. 防止 ping 洪水

[Plain Text] 纯文本查看 复制代码

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT