The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Предотвращение DoS атак в FreeBSD 
* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или
FIN-ACK в миллисекундах;
* "sysctl -w net.inet.tcp.blackhole=2" -  все пакеты на закрытый порт
отбрасываются без отсылки RST;
* "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для  закрытых портов;
* "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов, 
      максимальное количество  ICMP Unreachable и TCP RST пакетов в секунду;
* "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов;
* Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1;
sysctl kern.polling.user_frac=50);
 
04.11.2004 , Автор: bsdportal.ru , Источник: http://www.bsdportal.ru/viewtopic.p...
Ключи: icmp, poll, tcp, user, udp, freebsd, ip, device, socket, time, sysctl, ipc, dos
Раздел:    Корень / Администратору / Система / FreeBSD специфика / Увеличение безопасности FreeBSD

Обсуждение [ RSS ]
  • 1.1, AoL (?), 21:27, 11/11/2004 [ответить]  
    		• +/
    А какой смысл device polling'а?
     
  • 1.2, Gezm0 (ok), 02:21, 12/11/2004 [ответить]  
    		• +/
    Написано доходчиво и внятно. Интересует, собственно, насколько работоспособно и не убьёт ли сетку на freebsd 5.3-stable. На боевом тазике по граблям ходить боязно, а сымитировать на подопытном сервере работу боевого тазика затруднительно.
     
  • 1.3, NAIR (ok), 00:01, 16/11/2004 [ответить]  
    		• +/
    Действительно красиво и просто. Так всё же делал ли кто это на боевой машине?
     
  • 1.4, вот.. (?), 05:12, 16/11/2004 [ответить]  
    		• +/
    Я делал, кроме имхо бессмысленного девайс поллинга, только у меня еще и:

    options         RANDOM_IP_ID      
    options         TCP_DROP_SYNFIN

    И в sysctl:

    security.bsd.see_other_uids=0
    net.inet.tcp.blackhole=2
    net.inet.udp.blackhole=1
    kern.ipc.somaxconn=1024
    net.inet.icmp.drop_redirect=1
    net.inet.icmp.log_redirect=1
    net.inet.ip.redirect=0
    net.inet.tcp.sendspace=32768
    net.inet.tcp.recvspace=32768
    net.link.ether.inet.max_age=1200
    net.inet.icmp.maskrepl=0


     
     
  • 2.5, NAIR (??), 21:29, 24/11/2004 [^] [^^] [^^^] [ответить]  
    		• +/
    И как помогло? И как понять то , что действительно помогло?
     

  • 1.6, Oleg (??), 10:22, 31/03/2006 [ответить]  
    		• +/
    Ксли у тебя сетевуха пулинг не поддерживает, это не значит что он бессмысленный девайс.
     
  • 1.7, wp2 (?), 21:42, 04/09/2009 [ответить]  
    		• +/
    >sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для  закрытых портов

    а они что не отбрасываются? А что с ними происходит?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру