UNIX IP Stack 调整指南
2009-05-13 01:39:02来源:未知 阅读 ()
创建时间:2001-03-03文章属性:原创
文章提交:
xundi
(xundi_at_xfocus.org)
UNIX IP Stack 调整指南
BY XUNDI 2001/01/08
xundi@xfocus.org
http://www.xfocus.org
原文:robt@cymru.com
本文的目的是为了调整UNIX IP堆栈以更有效的防止现今多种类型的攻击,详细
描述了一些UNIX服务系统中网络服务如HTTP或者routing的推荐设置,其中系统
包括了如下不同的UNIX:
A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10
下面叙述的一些调整参数和句法在重新启动后将不会自动激活,所以如果你需要
在每次启动的时候长期保持这些参数,你就需要增加这些实时命令到如下的启动
文件中:
AIX - /etc/rc.net
Solaris - /etc/init.d/inetinit
Tru64 UNIX - 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX - /etc/rc.config.d/nddconf
Linux kernel 2.2 - /etc/sysctl.conf
FreeBSD - /etc/rc.conf
IRIX - 使用systune命令
====================================================================
以下是一些IP堆栈调整建议:
1,调节TCP发送和接受空间(TCP send and receive spaces)
TCP发送和接受的空间直接影响TCP 窗口大小参数(TCP window size parameter),
一定程度上的窗口大小增加有助于更有效的传输,尤其是一些需要大数量传输的
服务如FTP和HTTP,默认的一些设置不是每个系统都是最优化的,一般我们需要
增加这个窗口大小为32768字节。除非你设置的时候很清楚的理解RFC1323(
http://www.ietf.org/rfc/rfc1323.txt?number=1323
)和RFC2018(
http://www
.
ietf.org/rfc/rfc2018.txt?number=2018),否则你不要把这个值增加到高于64K字节。
A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768
B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768
C. Tru64 UNIX
没有推荐的调整.
D. HP-UX
默认情况下TCP发送和接受空间已经设置为32768.
E. Linux kernel 2.2
Linux自动分配TCP发送和接受空间并默认共同支持RFC1323 (large window support,
net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).
F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768
G. IRIX
默认情况下TCP发送和接受空间设置为64K字节.
2,调整套接口序列防止SYN攻击
各种网络应用软件一般必须开放一个或者几个端口供外界使用,所以其必定可以
会被恶意攻击者向这几个口发起拒绝服务攻击,其中一个很流行的攻击就是SYN
FLOOD,在攻击发生时,客户端的来源IP地址是经过伪造的(spoofed),现行的IP
路由机制仅检查目的IP地址并进行转发,该IP包到达目的主机后返回路径无法通
过路由达到的,于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP
套接口缓存队列被迅速填满,而拒绝新的连接请求。为了防止这些攻击,部分UNIX
变种采用分离入站的套接口连接请求队列,一队列针对半打开套接口(SYN 接收,
SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用,增加这两队
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:mysql 起动错误解决办法
下一篇:一些FreeBSD相关的安全问题
- 求PC-BSD 7.1安装指南? 2009-05-13
- nginx的index页设置问题!! 2009-05-13
- NetBSD笔记 2009-05-13
- freebsd postfix设置 2009-05-13
- FreeBSD下claroline安装小记 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
