精品人妻无码一区二区三区抖音,91人妻中文字幕在线

#iptables -I INPUT -s 192.168.31.200-p tcp -j REJECT#啟動(dòng)防火墻#systemctl start firewalld 這時(shí)候在抓包，發(fā)現(xiàn)被拒絕了。
[root@MiWiFi-RA72-srv ~]# hping3-S -p 80 -i u1 192.168.31.50HPING 192.168.31.50 (ens33 192.168.31.50): S set, 40 headers + 0 data bytesICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWNICMP Packet filtered from ip=192.168.31.50 name=UNKNOWN[send_ip] sendto: Operation not permittedtcpdump抓包看下,發(fā)現(xiàn)沒有回復(fù)了，也許是沒有來及回復(fù)- –
08:29:26.872385 IP 192.168.31.200.60180 > 192.168.31.50.http: Flags [S], seq 633025815, win 512, length 008:29:26.872389 IP 192.168.31.200.60181 > 192.168.31.50.http: Flags [S], seq 1327904571, win 512, length 008:29:26.872488 IP 192.168.31.200.60182 > 192.168.31.50.http: Flags [S], seq 1677934026, win 512, length 008:29:26.872498 IP 192.168.31.200.60183 > 192.168.31.50.http: Flags [S], seq 940613549, win 512, length 008:29:26.872510 IP 192.168.31.200.60184 > 192.168.31.50.http: Flags [S], seq 245284800, win 512, length 008:29:26.872514 IP 192.168.31.200.60185 > 192.168.31.50.http: Flags [S], seq 620067640, win 512, length 008:29:26.872612 IP 192.168.31.200.60186 > 192.168.31.50.http: Flags [S], seq 1859432659, win 512, length 008:29:26.872622 IP 192.168.31.200.60187 > 192.168.31.50.http: Flags [S], seq 2106267374, win 512, length 09856 packets dropped by kernel這種局限性很大，一旦攻擊端改成隨機(jī)ip或者DDoS攻擊，那么就不好封IP了。
4.2 限制每秒的SYN報(bào)文# 限制syn并發(fā)數(shù)為每秒1次這個(gè)可能會(huì)誤傷啊，如果用戶比較多很多被限制了#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT# 限制單個(gè)IP在60秒新建立的連接數(shù)為10# iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --ｕｐｄａｔｅ --seconds 60 --hitcount 10 -j REJECT#刪除# 查看規(guī)則iptables -nL --line-number# 刪除規(guī)則第二行 iptables -D INPUT 2 怎么知道規(guī)則生效那，除了上面的，還可以通過查看連接狀態(tài)：
[root@localhost ~]# netstat -an|grep RECV|wc -l128加上規(guī)則后，這個(gè)數(shù)量為0，表示被拒絕了。
4.3 內(nèi)核參數(shù)調(diào)整增大半連接長度通過上面的TCP三次握手圖可以知道，如果增加了半連接隊(duì)列的長度，一定程度上可以緩解下Dos攻擊。
半連接隊(duì)列長度 = roundup_pow_of_two(max_t(u32,min(somaxconn,sysctl_max_syn_backlog,backlog),8) +1)) roundup_pow_of_two為最接近2的指數(shù)次冪，簡單理解為向上按照2的指數(shù)次冪取整。不同的系統(tǒng)版本。

tcp_max_syn_backlog是指定所能接受SYN同步包的最大客戶端數(shù)量，即半連接上限；
somaxconn是指服務(wù)端所能accept即處理數(shù)據(jù)的最大客戶端數(shù)量，即完成連接上限。默認(rèn)值：

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog128[root@localhost ~]# cat /proc/sys/net/core/somaxconn128

backlog 為用戶程序設(shè)置的隊(duì)列長度。更改方法如下：

[root@localhost ~]# sysctl -w net.ipv4.tcp_max_syn_backlog=1024net.ipv4.tcp_max_syn_backlog = 1024[root@localhost ~]# sysctlnet.ipv4.tcp_max_syn_backlognet.ipv4.tcp_max_syn_backlog = 1024[root@localhost ~]# sysctl -w net.core.somaxconn=1024net.core.somaxconn = 1024[root@localhost ~]# sysctlnet.core.somaxconnnet.core.somaxconn = 1024永久更改可以將配置寫入到/etc/sysctl.conf中[root@localhost ~]# vim /etc/sysctl.confnet.core.somaxconn = 1024net.ipv4.tcp_max_syn_backlog = 1024#生效[root@localhost ~]# sysctl -p

順便聊下全連接，完成三次握手的會(huì)將連接信息放到全連接隊(duì)列中，我們可以通過：