Форум Сайтостроение Администрирование серверов

Настройка параметров TCP/IP в линукс для работы сервера под ддосом.

zexis · 2010-08-03T14:17:12.0000000Z

Стандартные параметры TCP/IP на сервере линукс плохо подходят для работы сайта под ддос атакой и в условиях злонамеренных действий хакеров. Например, хакер может открыть множество соединений TCP/IP и держать их открытыми и не используемыми. В результате будет напрасно тратится память сервера и место в списке открытых соединений. Если будет открыто очень много соединений, то может быть достигнут предел на количество соединений. По умолчанию сервер лишь через 2 часа закроет не используемое соединение. Это лишь один из примеров, таких пакостей можно придумать много. Есть разные способы борьбы с этим. 1. писать правила фаервола 2. писать скрипт подсчитывающий количество коннектов с одного IP и банящий тех кто превысит лимит. 3. настроить параметры протокола TCP/IP. В этом топике я хочу обсудить какие задать оптимально параметры для протокола TCP/IP для сервера работающего под регулярными ддос атаками и зловредными действиями хакеров. Сейчас я использую следующие параметры Эти значения я выбрал после прочтения описания параметров TCP/IP и статей, которые нашел в интернете. net.ipv4.icmp_echo_ignore_all = 1 net.ipv4.tcp_syncookies=1 net.ipv4.tcp_synack_retries=1 net.ipv4.tcp_keepalive_time=60 net.ipv4.tcp_keepalive_intvl=10 net.ipv4.tcp_keepalive_probes=5 net.ipv4.tcp_fin_timeout=30 Хотелось бы узнать какие еще параметры в Linux рекомендуется изменить для TCP/IP и какие значения поставить для оптимальной работы в условиях возможных злонамеренных действий. Прошу в этой теме не флудить, а лишь писать тем кто хочет поделится информацией. В формате 1. ваш список параметров TCP/IP 2. Аргументы почему именно эти значения, если хотите объяснить почему именно такие параметры. Заранее благодарю.

388

zexis

6 августа 2010, 12:35

#11

differnetlocal:
Вообще, писать такие статьи - медвежья услуга. Люди начинают тупо копипастить неподходящие им параметры и вместо улучшения ситуации ее ухудшают. А то и вовсе роняют сервер (например скопипастив конфиг от машины с 16ГБ памяти на машину с 1ГБ).
А статейка на OpenNET-е изрядно протухла, там речь идет в основном о 2.2, а сейчас 2.6 на дворе.
p.s. Сложность в администрировании OpenBSD и PF сильно преувеличена. :)

Прежде чем менять настройки надо понимать что эти настройки значат.

Никто бездумно копировать их не будет

В интернете есть довольно много статей про эти настройки, (среди них много устаревших статей) и во многих из них рекомендуются не оптимальные значения.

Andreyka:
На сервер подадут udp трафик в 7gbps и все эти настройки пойдут лесом

По моему опыту в большинстве случаев ддос не превышает канала сервера.

Атаку можно надежно заблокировать настройками на самом сервере.

Если ваш опыт говорит о том что большинство атак превышают канал сервера, расскажите об этом.

Будет очень интересно узнать вашу статистику по мощности ддос атак.

Что нужно учитывать при Semonitor 3.0 - программа Джон Мюллер на вопрос

822

Andreyka

6 августа 2010, 20:00

#12

4-7gbps - валит ДЦ типа hopone, за это они сервак могут вырубить, это политический ddos

300-500mbps - валит сервак и циску перед ним типа guard, это корпоративный ddos

50-100mbps - валит ненастроенный сервак, это пионерский ddos

Не стоит плодить сущности без необходимости

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

Дзен реализовал для авторов возможность вывода денег через СПБ

Настройка параметров TCP/IP в линукс для работы сервера под ддосом.