The OpenNET Project: Предотвращение DoS атак в FreeBSD

Предотвращение DoS атак в FreeBSD	[исправить]
* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах; * "sysctl -w net.inet.tcp.blackhole=2" - все пакеты на закрытый порт отбрасываются без отсылки RST; * "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портов; * "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов, максимальное количество ICMP Unreachable и TCP RST пакетов в секунду; * "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов; * Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1; sysctl kern.polling.user_frac=50);

04.11.2004 , Автор: bsdportal.ru , Источник: http://www.bsdportal.ru/viewtopic.p... Ключи: icmp, poll, tcp, user, udp, freebsd, ip, device, socket, time, sysctl, ipc, dos, (найти похожие документы)
Раздел: Корень / Администратору / Система / FreeBSD специфика / Увеличение безопасности FreeBSD

Обсуждение

[ RSS ]

1.1, AoL, 21:27, 11/11/2004 [ответить] [смотреть все]	+/–
А какой смысл device polling'а?

1.2, Gezm0, 02:21, 12/11/2004 [ответить] [смотреть все]	+/–
Написано доходчиво и внятно. Интересует, собственно, насколько работоспособно и не убьёт ли сетку на freebsd 5.3-stable. На боевом тазике по граблям ходить боязно, а сымитировать на подопытном сервере работу боевого тазика затруднительно.

1.3, NAIR, 00:01, 16/11/2004 [ответить] [смотреть все]	+/–
Действительно красиво и просто. Так всё же делал ли кто это на боевой машине?

1.4, вот.., 05:12, 16/11/2004 [ответить] [смотреть все]

+/–

Я делал, кроме имхо бессмысленного девайс поллинга, только у меня еще и:

options RANDOM_IP_ID
options TCP_DROP_SYNFIN

И в sysctl:

security.bsd.see_other_uids=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.icmp.maskrepl=0

2.5, NAIR, 21:29, 24/11/2004 [^] [ответить] [смотреть все]	+/–
И как помогло? И как понять то , что действительно помогло?

1.6, Oleg, 10:22, 31/03/2006 [ответить] [смотреть все]	+/–
Ксли у тебя сетевуха пулинг не поддерживает, это не значит что он бессмысленный девайс.

1.7, wp2, 21:42, 04/09/2009 [ответить] [смотреть все]	+/–
>sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портов а они что не отбрасываются? А что с ними происходит?

Ваш комментарий

Добавить заметку

Версия для печати

Последние заметки

- 12.05 Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox

- 11.05 Настройка беспроводного соединения в Debian GNU/Linux

- 07.05 Использование Google Drive в Linux

- 18.04 Использование нескольких сетевых стеков в Linux

- 15.04 Восстановление стандартного KDE меню после его удаления (например, wine)

- 11.04 Настройка gmirror при использовании GPT во FreeBSD 9

- 09.04 Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ

- 02.04 Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM

- 21.03 Настройка DNSSEC в BIND 9.9

- 17.03 Набор номера на Cisco IP Phone 7960/7940 из скрипта

RSS | Следующие 15 записей >>

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

Оформить подписку на год

Закладки на сайте
Проследить за страницей

Created 1996-2012 by Maxim Chirkov
Добавить, Реклама, Вебмастеру, ГИД