如何提高routeros的抗syn攻击

wyhwin

似乎可以在firewall的connections的tracking里调整??但是具体的多少数值要看自己网络的情况来定，请高手讨论！

wyhwin

这是官方提供的设置TCP SYN sent - (first stage in establishing a connection) = 2min TCP SYN recvd - (second stage in establishing a connection) = 60sec Established TCP connections - (third stage) = 5 days TCP FIN wait - (connection termination) = 2min TCP TIME wait - (connection termination) = 2min TCP CLOSE - (remote party sends RTS) = 10sec TCP CLOSE wait - (sent RTS) = 60sec TCP LAST ACK - (received ACK) = 30sec TCP Listen - (ftp server waiting for client to establish data connection) = 2min UDP timeout - 30sec UDP with reply timeout - (remote party has responded) = 180sec ICMP timeout - 30sec All other - 10min

wyhwin

但是官方的设置在承受有计划的syn攻击的时候，似乎没有效果。。已经测试过！

smile787

SYN的正常设置，和你说的攻击是不同。这个只有限制连接的方法，没有特别有效果的方法，用BSD系统好些！

wyhwin

更改里面的设置不能阻挡syn的攻击吗？

smile787

可以这么说！！但是调整可以路由的性能，最要要看你的网络！！！设置在另一个地方哦！！！可以防SYN攻击。。。经测试！！

wyhwin

请教在什么地方设置`````高手说话都这样高深莫测?

smile787

QUOTE (wyhwin @ Jul 25 2004, 04:16 PM)
请教在什么地方设置`````高手说话都这样高深莫测?  
  forward 里

wyhwin

麻烦smile787高手????说的详细点！！！！不要字字千金ok？

smile787

QUOTE (wyhwin @ Jul 25 2004, 09:56 PM)
麻烦smile787高手????说的详细点！！！！不要字字千金ok？  
  不会啊！！说了啊，在farward里设置嘛。。。当然你就会知道是在firewall里的。。。你都知道是syn了，限制你想要的效果就ok了。。。。呵呵。。。。你没用过linux。。。。。

smile787

有需要可以看看一下，由于网络结构和速度的不同，下面的值是需要修改的。。/ ip firewall rule forward add protocol=tcp tcp-options=syn-only limit-count=200 limit-burst=20 limit-time=5s action=accept comment="smile" disabled=no根据不同的网络类型和带宽，服务类型，自己修该达到最好效果。。。

txwwy

这个是个很麻烦的问题。到目前为止还没有看到较好的解决方案

lgl7078

据说zhanghui已经解决,等他给大家说

小雨奇缘

很是期待有更好的解决办法

spookyu

带宽高 CPU高...能承受起一般攻击...

要看攻击方的带宽 和 你的带宽 谁的牛X了...

在相同配置下 BSD扛DDOS 比linux要好很多...!!!

PS:SYN不是一般几条防火墙策略可以挡住的...