wyhwin
发表于 2004-7-23 12:19:25
似乎可以在firewall的connections的tracking里调整??但是具体的多少数值要看自己网络的情况来定,请高手讨论!
wyhwin
发表于 2004-7-23 12:24:09
这是官方提供的设置TCP SYN sent - (first stage in establishing a connection) = 2min TCP SYN recvd - (second stage in establishing a connection) = 60sec Established TCP connections - (third stage) = 5 days TCP FIN wait - (connection termination) = 2min TCP TIME wait - (connection termination) = 2min TCP CLOSE - (remote party sends RTS) = 10sec TCP CLOSE wait - (sent RTS) = 60sec TCP LAST ACK - (received ACK) = 30sec TCP Listen - (ftp server waiting for client to establish data connection) = 2min UDP timeout - 30sec UDP with reply timeout - (remote party has responded) = 180sec ICMP timeout - 30sec All other - 10min
wyhwin
发表于 2004-7-23 12:25:53
但是官方的设置在承受有计划的syn攻击的时候,似乎没有效果。。已经测试过!
smile787
发表于 2004-7-23 13:39:32
SYN的正常设置,和你说的攻击是不同。这个只有限制连接的方法,没有特别有效果的方法,用BSD系统好些!
wyhwin
发表于 2004-7-23 14:06:23
更改里面的设置不能阻挡syn的攻击吗?
smile787
发表于 2004-7-24 23:58:52
可以这么说!!但是调整可以路由的性能,最要要看你的网络!!!设置在另一个地方哦!!!可以防SYN攻击。。。经测试!!
wyhwin
发表于 2004-7-25 16:16:29
请教在什么地方设置`````高手说话都这样高深莫测?
smile787
发表于 2004-7-25 16:55:19
QUOTE (wyhwin @ Jul 25 2004, 04:16 PM)
请教在什么地方设置`````高手说话都这样高深莫测?
forward 里
wyhwin
发表于 2004-7-25 21:56:54
麻烦smile787高手????说的详细点!!!!不要字字千金ok?
smile787
发表于 2004-7-25 22:43:09
QUOTE (wyhwin @ Jul 25 2004, 09:56 PM)
麻烦smile787高手????说的详细点!!!!不要字字千金ok?
不会啊!!说了啊,在farward里设置嘛。。。当然你就会知道是在firewall里的。。。你都知道是syn了,限制你想要的效果就ok了。。。。呵呵。。。。你没用过linux。。。。。
smile787
发表于 2004-7-29 12:11:50
有需要可以看看一下,由于网络结构和速度的不同,下面的值是需要修改的。。/ ip firewall rule forward add protocol=tcp tcp-options=syn-only limit-count=200 limit-burst=20 limit-time=5s action=accept comment="smile" disabled=no根据不同的网络类型和带宽,服务类型,自己修该达到最好效果。。。
txwwy
发表于 2004-8-2 17:51:38
这个是个很麻烦的问题。到目前为止还没有看到较好的解决方案
lgl7078
发表于 2004-8-5 10:23:25
据说zhanghui已经解决,等他给大家说
小雨奇缘
发表于 2006-6-16 23:02:48
很是期待有更好的解决办法
spookyu
发表于 2006-6-18 21:33:02
带宽高 CPU高...能承受起一般攻击...
要看攻击方的带宽 和 你的带宽 谁的牛X了...
在相同配置下 BSD扛DDOS 比linux要好很多...!!!
PS:SYN不是一般几条防火墙策略可以挡住的...
页:
[1]