亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb

首頁 > 系統(tǒng) > Unix > 正文

UNIX IP Stack 調(diào)整指南

2020-10-28 18:59:29

字體：大中小

來源：轉(zhuǎn)載

供稿：網(wǎng)友

本文的目的是為了調(diào)整UNIX IP堆棧以更有效的防止現(xiàn)今多種類型的攻擊，詳細(xì)
描述了一些UNIX服務(wù)系統(tǒng)中網(wǎng)絡(luò)服務(wù)如HTTP或者routing的推薦設(shè)置，其中系統(tǒng)
包括了如下不同的UNIX：

A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10

下面敘述的一些調(diào)整參數(shù)和句法在重新啟動后將不會自動激活，所以如果你需要
在每次啟動的時(shí)候長期保持這些參數(shù)，你就需要增加這些實(shí)時(shí)命令到如下的啟動
文件中：

AIX - /etc/rc.net
Solaris - /etc/init.d/inetinit
Tru64 UNIX - 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX - /etc/rc.config.d/nddconf
Linux kernel 2.2 - /etc/sysctl.conf
FreeBSD - /etc/rc.conf
IRIX - 使用systune命令

====================================================================

以下是一些IP堆棧調(diào)整建議：

1，調(diào)節(jié)TCP發(fā)送和接受空間(TCP send and receive spaces)

TCP發(fā)送和接受的空間直接影響TCP 窗口大小參數(shù)(TCP window size parameter),
一定程度上的窗口大小增加有助于更有效的傳輸，尤其是一些需要大數(shù)量傳輸?shù)?
服務(wù)如FTP和HTTP，默認(rèn)的一些設(shè)置不是每個(gè)系統(tǒng)都是最優(yōu)化的，一般我們需要
增加這個(gè)窗口大小為32768字節(jié)。除非你設(shè)置的時(shí)候很清楚的理解RFC1323(
http://www.ietf.org/rfc/rfc1323.txt?number=1323)和RFC2018(http://www.
ietf.org/rfc/rfc2018.txt?number=2018),否則你不要把這個(gè)值增加到高于64K字節(jié)。

A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768

C. Tru64 UNIX
沒有推薦的調(diào)整.

D. HP-UX
默認(rèn)情況下TCP發(fā)送和接受空間已經(jīng)設(shè)置為32768.

E. Linux kernel 2.2
Linux自動分配TCP發(fā)送和接受空間并默認(rèn)共同支持RFC1323 (large window support,
net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).

F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768

G. IRIX
默認(rèn)情況下TCP發(fā)送和接受空間設(shè)置為64K字節(jié).

2，調(diào)整套接口序列防止SYN攻擊

各種網(wǎng)絡(luò)應(yīng)用軟件一般必須開放一個(gè)或者幾個(gè)端口供外界使用，所以其必定可以
會被惡意攻擊者向這幾個(gè)口發(fā)起拒絕服務(wù)攻擊，其中一個(gè)很流行的攻擊就是SYN
FLOOD，在攻擊發(fā)生時(shí)，客戶端的來源IP地址是經(jīng)過偽造的(spoofed)，現(xiàn)行的IP
路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā)，該IP包到達(dá)目的主機(jī)后返回路徑無法通
過路由達(dá)到的，于是目的主機(jī)無法通過TCP三次握手建立連接。在此期間因?yàn)門CP
套接口緩存隊(duì)列被迅速填滿，而拒絕新的連接請求。為了防止這些攻擊，部分UNIX
變種采用分離入站的套接口連接請求隊(duì)列，一隊(duì)列針對半打開套接口(SYN 接收,
SYN|ACK 發(fā)送), 另一隊(duì)列針對全打開套借口等待一個(gè)accept()調(diào)用，增加這兩隊(duì)
列可以很好的緩和這些SYN FLOOD攻擊并使對服務(wù)器的影響減到最小程度：

A. AIX
/usr/sbin/no -o clean_partial_conns=1
這個(gè)設(shè)置會指示內(nèi)核隨機(jī)的從q0隊(duì)列中去掉半打開套接口來為新的套接口增加
所需空間。

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024
使q 隊(duì)列擁有接口等待來自應(yīng)用程序的accept()調(diào)用.
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q0 2048
使q0 隊(duì)列能維護(hù)半打開套接口.

C. Tru64 UNIX
/sbin/sysconfig -r socket sominconn=65535
這個(gè)sominconn的值決定了系統(tǒng)能同時(shí)處理多少個(gè)相同的進(jìn)入的SYN信息包.
/sbin/sysconfig -r socket somaxconn=65535
這個(gè)somaxconn值設(shè)置了系統(tǒng)能保留多少個(gè)待處理TCP連接.

D. HP-UX
/usr/sbin/ndd -set tcp_syn_rcvd_max 1024
/usr/sbin/ndd -set tcp_conn_request_max 200

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=1280
有效的增加q0的套接口隊(duì)列大小.
/sbin/sysctl -w net.ipv4.tcp_syn_cookies=1
啟用TCP SYN cookies支持,能有效的減輕SYN FLOOD的攻擊，但是這個(gè)參數(shù)會對一些
大的窗口引起一些性能問題(參看RFC1323 and RFC2018.

F. FreeBSD
sysctl -w kern.ipc.somaxconn=1024

G. IRIX
listen()隊(duì)列被硬性設(shè)置為32.但是系統(tǒng)實(shí)際采用待處理連接數(shù)為((3 * backlog) / 2) + 1，
其中的backlog數(shù)值最大值為49.

3，調(diào)整Redirects參數(shù)

惡意用戶可以使用IP重定向來修改遠(yuǎn)程主機(jī)中的路由表，在設(shè)計(jì)良好的網(wǎng)絡(luò)中，
末端的重定向設(shè)置是不需要的，發(fā)送和接受重定向信息包都要關(guān)閉。

A. AIX
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

C. Tru64 UNIX
沒有推薦的調(diào)整設(shè)置.

D. HP-UX
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

F. FreeBSD
sysctl -w net.inet.icmp.drop_redirect=1
sysctl -w net.inet.icmp.log_redirect=1
sysctl -w net.inet.ip.redirect=0
sysctl -w net.inet6.ip6.redirect=0

G. IRIX
/usr/sbin/systune icmp_dropredirects to 1

4,調(diào)整ARP清理設(shè)置

通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產(chǎn)生資源耗竭和性能減低
攻擊。在Solaris中，有2個(gè)參數(shù)可以管理間隔的清理IP路由緩沖，針對未請求的
ARP響應(yīng)可以通過arp_cleanup_interval調(diào)整，AIX可以通過artp_killc來設(shè)置。

A. AIX
/usr/sbin/no -o arpt_killc=20
B. Solaris
/usr/sbin/ndd -set /dev/arp arp_cleanup_interval 60000
C. Tru64 UNIX
沒有參考的調(diào)整設(shè)置.
D. HP-UX
默認(rèn)設(shè)置為5分鐘.
E. Linux kernel 2.2
沒有參考的調(diào)整設(shè)置.
F. FreeBSD
sysctl -w net.link.ether.inet.max_age=1200
G. IRIX
沒有參考的調(diào)整設(shè)置.

5,調(diào)整源路由的設(shè)置

通過源路由，攻擊者可以嘗試到達(dá)內(nèi)部IP地址 --包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測。

A. AIX
/usr/sbin/no -o ipsrcroutesend=0
關(guān)閉源路由信息包發(fā)送.

/usr/sbin/no -o ipsrcrouteforward=0
如果你這個(gè)系統(tǒng)要做路由工作如防火墻，這個(gè)參數(shù)就很重要，關(guān)閉這個(gè)特征就
可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_src_route_forward 0
如果你這個(gè)系統(tǒng)要做路由工作如防火墻，這個(gè)參數(shù)就很重要，關(guān)閉這個(gè)特征就
可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

C. Tru64 UNIX
沒有推薦的調(diào)整.

D. HP-UX
ndd -set /dev/ip ip_forward_src_routed 0
關(guān)閉這個(gè)特征就可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
丟棄所有源地址信息包.
/sbin/sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
不轉(zhuǎn)發(fā)源路由幀.

F. FreeBSD
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_sourceroute=0

G. IRIX
/usr/sbin/systune ipforward to 2

6. 調(diào)整TIME_WAIT setting 設(shè)置

在一些比較繁忙的WEB服務(wù)器上，許多套接口可能就處于TIME_WAIT狀態(tài)，這是
由于一些不正規(guī)編碼的客戶端應(yīng)用程序沒有很正確的處理套接口所引起的，這
就可能引起如DDOS的攻擊。

A. AIX
沒有推薦設(shè)置.

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000

這個(gè)參數(shù)影響了TCP套接口保持TIME_WAIT狀態(tài)的時(shí)間數(shù)，默認(rèn)情況下對于一個(gè)
繁忙的WEB服務(wù)器太高了，所以需要設(shè)置到低于每60秒，這個(gè)參數(shù)名字適用與
Solaris7或者更高的版本，在Solaris 7之前的版本，其名字不正確
的表識為tcp_close_wait_interval.

C. Tru64 UNIX
沒有推薦的調(diào)整設(shè)置.

D. HP-UX
ndd -set /dev/tcp tcp_time_wait_interval 60000
套接口將保持TIME_WAIT狀態(tài)不超過60秒.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.vs.timeout_timewait=60
套接口將保持TIME_WAIT狀態(tài)不超過60秒.

F. FreeBSD
沒有推薦的調(diào)整設(shè)置.

G. IRIX
/usr/sbin/systune tcp_2msl to 60

7，調(diào)整廣播ECHO響應(yīng)

Smurf攻擊就是一個(gè)偽造的地址通過發(fā)送ICMP 8 0 (ECHO REQUEST) 信息到一個(gè)廣
播地址，一些IP堆棧默認(rèn)情況下會響應(yīng)這些信息，所以必須關(guān)閉這個(gè)特征。如果
這個(gè)主機(jī)作為防火墻使用(router)，關(guān)閉這個(gè)特征就不能處理處理廣播。

A. AIX
/usr/sbin/no -o directed_broadcast=0
不響應(yīng)直接廣播.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應(yīng)直接廣播.
/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉(zhuǎn)發(fā)直接廣播.

C. Tru64 UNIX
沒有推薦調(diào)整設(shè)置.

D. HP-UX
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應(yīng)直接廣播.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉(zhuǎn)發(fā)直接廣播. 日本高清免费电影一区| 欧美激情成人动漫| 亚洲国产一区二区精品视频| 成人国产精品免费| 国产蜜臀97一区二区三区| 中文字幕乱码一区二区免费| 91社在线播放| 亚洲aaa在线观看| 国产在线不卡一卡二卡三卡四卡| 国产美女精品视频| 性欧美videos精品| 国产精品jizz视频| 黄色亚洲免费| 无码人妻少妇伦在线电影| 中文字幕不卡三区视频| 在线观看亚洲天堂| 久久综合九色综合欧美亚洲| 国产日韩精品一区二区三区在线| 色99之美女主播在线视频| 国产精品日本一区二区不卡视频| 国产老熟女伦老熟妇露脸| 欧美黑人巨大xxxx猛交| 欧美日韩精品亚洲精品| 999sesese| 欧美日韩大尺度| 91av在线免费视频| 欧美精品国产精品| 加勒比中文字幕精品| 91av在线播放视频| 亚洲国产精品久久精品怡红院| 日韩黄色网络| 九九久久综合网站| 精品麻豆视频| 国产一精品一aⅴ一免费| 九九视频精品免费| 伊人久久大香线蕉av一区| 国产成人亚洲综合a∨婷婷| 日韩激情视频在线观看| 精品无码久久久久久久| 黄色三级电影网站| 99porn视频在线| 中文无码av一区二区三区| 日韩在线观看| 中文字幕免费精品一区高清| 久久一本精品| 日韩片电影在线免费观看| 欧美日韩看看2015永久免费| 中文字幕乱码中文乱码51精品| 欧美色图亚洲激情| 97精品伊人久久久大香线蕉| 不卡区在线中文字幕| 另类人妖一区二区av| 国产成人av片| 美女又爽又黄免费| jjzzjjzz欧美69巨大| 伊人免费视频| 国产在线观看h| 欧美在线xxx| www.噜噜色.com| 99精品人妻少妇一区二区| 国产视频在线观看视频| 性感美女久久精品| 欧美成人精品一区二区男人小说| 一区2区3区在线看| 日韩精品一区二区三区外面| 一二三四社区欧美黄| 欧美天堂一区二区| 国产黄色录像视频| 少妇一级淫片免费放播放| 最新日韩免费视频| 日韩毛片在线观看| 91麻豆精品国产91久久久资源速度| 欧美电影在线观看网站| 一区二区三区在线免费观看视频| 久久久久久久片| 日韩成人激情视频| 精品三级在线观看| 第四色在线一区二区| 日本国产一区| 一本色道久久综合亚洲精品按摩| 秋霞av一区二区三区| 欧美韩一区二区| 尤物视频网站| 黄色成人免费看| 欧美精品密入口播放| 豆国产97在线|亚洲| 日韩免费av片在线观看| 亚洲成人黄色片| 成全在线观看免费完整动漫| 青青在线免费观看| 国产区精品在线观看| 四季av一区二区| 欧美极品少妇xxxxⅹ免费视频| 国产精品成人av| 六月婷婷在线视频| 奇米影视首页狠狠色丁香婷婷久久综合| 欧美美女福利视频| 亚洲黄色精品视频| 激情五月综合婷婷| 亚洲毛片一区二区| 国产情侣激情自拍| 国产美女三级视频| 无码人妻精品一区二区蜜桃百度| 久久99亚洲网美利坚合众国| 日批免费在线观看| 欧美美女搞黄| 久久成人麻豆午夜电影| 亚洲图片小说在线| 日本久久网站| 欧美极品免费| 人妻熟妇乱又伦精品视频| 亚洲一级av毛片| 91最新网站| 亚洲成人一区在线| 国产精品人人妻人人爽| 久久中文字幕一区二区三区| 在线激情视频| 久久久久久久电影| 国产日韩欧美| 精品久久久视频| av在线影视| 手机看片久久久| 久久久99精品免费观看| 久久久夜色精品| 国产精品久久亚洲7777| 国产专区欧美专区| 黄色三级视频在线| 久久精品国产亚洲AV无码麻豆| 麻豆久久婷婷| 爆乳熟妇一区二区三区霸乳| 国产精品成人自拍| 自拍偷拍第八页| 亚洲欧洲精品在线| а√天堂中文在线资源8| 精品网站999| 不卡的av中文字幕| 国产美女在线看| 欧美日韩国产一区精品一区| 欧美女人天堂| 欧美日韩综合一区二区| 国产91精品久久久| 精品国产综合区久久久久久| 国产精品igao网网址不卡| 一本到高清视频免费精品| 性生活三级视频| 亚洲乱码精品一二三四区日韩在线| 亚洲制服一区| 4hu四虎永久在线影院成人| 西西大胆午夜视频| 国产黄色91视频| 亚洲电影一级黄| 一二三四区在线观看| 91激情视频在线观看| 亚洲欧美日韩在线| 911美女片黄在线观看游戏| 久久精品国产精品亚洲色婷婷| 欧洲乱码伦视频免费| 欧美激情在线一区二区| 全国精品久久少妇| 中文字幕人妻熟女人妻a片| av在线加勒比| 日韩一级视频在线观看| 一本大道一区二区三区| 一本色道久久综合狠狠躁的番外| 羞羞视频网站| 久久精品日产第一区二区| 老司机亚洲精品一区二区| 欧美va亚洲va香蕉在线| 麻豆国产精品一区二区三区| 免费看日批视频| 三级男人添奶爽爽爽视频| a级网站在线观看| free性欧美69巨大| 国产福利一区二区三区视频| 乳奴隷乳フ辱julia在线观看| 手机在线理论片| 992tv成人免费观看| 欧美在线观看在线观看| 日韩午夜在线电影| 美女91精品| 欧美精品久久久久久久| 亚洲高清免费观看高清完整版在线观看| a优女a优女片| 宅男噜噜噜66一区二区| 自拍偷自拍亚洲精品被多人伦好爽| 欧美精品18videosex性欧美| 男人精品网站一区二区三区| 亚洲欧洲日本一区二区三区| 91免费在线播放视频| 亚洲四色影视在线观看| 日韩国产91| 亚洲精品一区二区三区精华液| 中文字幕日韩精品无码内射| 精品国产污网站| 国产精品亚洲二区在线观看| 欧美久久久久| 日韩性xxx| 国产成人精品视频在线| 无码aⅴ精品一区二区三区浪潮| 欧美极品aaaaabbbbb| 成人国产精品一级毛片视频| 99精品热6080yy久久| 欧美日韩另类字幕中文| 亚洲无线码一区二区三区| 天海翼在线视频| 午夜精品一区二区三区在线视| 人妻91麻豆一区二区三区| 欧美日韩在线一区二区| 成人午夜视频免费看| 国产剧情一区二区| 波多野结衣家庭教师在线观看| 欧美视频一区二区在线| 久久亚洲春色中文字幕| 高潮白浆女日韩av免费看| 国产精品日产精品欧美精品| 亚洲精品一区二区三区中文字幕| 免费污片软件| 主播国产精品| 人人爱人人干婷婷丁香亚洲| 免费在线观看一级毛片| 国产在线观看精品| 91丨porny丨对白| 日本道免费精品一区二区三区| 麻豆成人在线视频| 激情内射人妻1区2区3区| 青青在线视频一区二区三区| 91福利在线看| 在线观看免费中文字幕| 国产精品福利片| 日韩av超清在线观看| 九九九九九国产| 91好色先生tv| 久久国产精品波多野结衣| jizzjizzjizz在线观看| 福利一区二区三区四区| 黄色免费视频观看| 一二三四视频在线中文| 国产免费av国片精品草莓男男| 免费a级毛片在线观看| 日本电影二区| 偷拍视频一区二区三区| 浓精h攵女乱爱av| 国产精品久久久一区| 亚洲制服欧美久久| 自拍偷在线精品自拍偷无码专区| 一个人看的www片免费高清视频| 欧美色片在线观看| 成人在线视频成人| 97午夜影院| 国产亚洲精品va在线观看| 妖精视频成人观看www| 一本久道久久综合婷婷鲸鱼| 国精产品乱码一区一区三区四区| 久久综合久久八八| 老鸭窝一区二区久久精品| 男人草女人视频| 69视频免费在线观看| 亚洲免费看片| 最新日本在线观看| 你懂的网站在线播放| 黄色大片在线观看| 国产伦精品一区二区三区四区| 精品一区二区三区在线播放| 免费毛片aaaaaa| 久久久久久久久久看片| 特黄特色特刺激视频免费播放| 神马影院我不卡午夜| 精品人妻一区二区乱码| 天堂中文字幕在线观看| √天堂中文官网8在线| h片在线观看下载| 中文字幕手机在线视频| 激情视频一区| 成年永久一区二区三区免费视频| 日韩免费啪啪| 亚洲欧美在线观看视频| 免费吸乳羞羞网站视频| 粉嫩绯色av一区二区在线观看| 一级黄色性视频| 日韩一区二区视频在线观看| 成人午夜在线播放| 久久一留热品黄| 中文字幕日本欧美| www.四虎在线| 在线观看91久久久久久| jizz内谢中国亚洲jizz| 97超碰在线公开在线看免费| 久久久99精品久久| 丁香另类激情小说| 午夜不卡影院| 国产精品视频免费观看| 欧洲日本亚洲国产区| 成人不卡免费视频| 成年人小视频在线观看| 青草影院在线观看| 在线观看91精品国产麻豆| 国产乱码精品一品二品| 国产女呦网站| 日韩成人中文字幕在线观看| 久久久久久久久久久9不雅视频| 蜜臀视频一区二区三区| 女人帮男人橹视频播放| 一区二区三区国产精华| 偷窥自拍欧美色图| 国产综合视频在线| 青青在线观看视频中文字| 国产偷久久久精品专区| 亚洲免费av网址| 欧美高清dvd| 欧美精品18+| 亚洲国产精品一区二区久久| 亚洲欧美日韩综合网| 成在线人视频免费视频| 一区二区成人av| 午夜大片在线观看| 一级黄色片网址| 天天干天天操天天爱| 成人av资源网址| 综合欧美精品| 亚洲图片小说区| 久久一二三四| 麻豆91在线观看| 超碰在线公开超碰在线| 精品一区二区三区蜜桃| 欧美极品一区二区| www.国产欧美| 性做久久久久久免费观看| 精品色999|