IPV4的内核管理功能/proc/sys/net/ipv4/*
/etc/sysctl.conf文件记录了系统的设置值
/proc/sys/net/ipv4/tcp_syncookies(在负载较高的服务环境下不建议开启)
- client对server发起tcp连接时,server在收到SYN数据包后,要求client回复一个序号,序号包括原SYN信息ip、port等,若client正常回复,server才会发送SYN/ACK建立后续连接(防SYN Flooding)
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts(建议开启)
- 不对广播icmp数据包进行回应,icmp_echo_ignore_all则表示不对所以的icmp包回应
/proc/sys/net/ipv4/conf/接口/*
- rp_filter:逆向路径过滤,ip1对应的是eth0网卡,若从eth1网卡收到ip1则不合理,应丢弃(开启)
- log_martians:过滤不合法的ip来源,如收到0.0.0.0 和class E的ip是不合法的(开启)
- accept_redirects:来源通过本主机转发,但有一条更好的路径不需要通过本主机(建议关闭)
- send_redirects:上一个基础上,发送icmp redirects通知(建议关闭)
修改:echo 1 > /proc/sys..... 或 进/etc/sysctl.conf修改
时间: 2024-10-14 04:09:03