亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb

首頁 > 系統 > Unix > 正文

UNIX IP Stack 調整指南

2020-10-28 18:59:29
字體:
來源:轉載
供稿:網友

本文的目的是為了調整UNIX IP堆棧以更有效的防止現今多種類型的攻擊,詳細
描述了一些UNIX服務系統中網絡服務如HTTP或者routing的推薦設置,其中系統
包括了如下不同的UNIX:

A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10

下面敘述的一些調整參數和句法在重新啟動后將不會自動激活,所以如果你需要
在每次啟動的時候長期保持這些參數,你就需要增加這些實時命令到如下的啟動
文件中:

AIX - /etc/rc.net
Solaris - /etc/init.d/inetinit
Tru64 UNIX - 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX - /etc/rc.config.d/nddconf
Linux kernel 2.2 - /etc/sysctl.conf
FreeBSD - /etc/rc.conf
IRIX - 使用systune命令

====================================================================

以下是一些IP堆棧調整建議:

1,調節TCP發送和接受空間(TCP send and receive spaces)

TCP發送和接受的空間直接影響TCP 窗口大小參數(TCP window size parameter),
一定程度上的窗口大小增加有助于更有效的傳輸,尤其是一些需要大數量傳輸的
服務如FTP和HTTP,默認的一些設置不是每個系統都是最優化的,一般我們需要
增加這個窗口大小為32768字節。除非你設置的時候很清楚的理解RFC1323(
http://www.ietf.org/rfc/rfc1323.txt?number=1323)和RFC2018(http://www.
ietf.org/rfc/rfc2018.txt?number=2018),否則你不要把這個值增加到高于64K字節。

A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768

C. Tru64 UNIX
沒有推薦的調整.

D. HP-UX
默認情況下TCP發送和接受空間已經設置為32768.

E. Linux kernel 2.2
Linux自動分配TCP發送和接受空間并默認共同支持RFC1323 (large window support,
net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).

F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768

G. IRIX
默認情況下TCP發送和接受空間設置為64K字節.

2,調整套接口序列防止SYN攻擊

各種網絡應用軟件一般必須開放一個或者幾個端口供外界使用,所以其必定可以
會被惡意攻擊者向這幾個口發起拒絕服務攻擊,其中一個很流行的攻擊就是SYN
FLOOD,在攻擊發生時,客戶端的來源IP地址是經過偽造的(spoofed),現行的IP
路由機制僅檢查目的IP地址并進行轉發,該IP包到達目的主機后返回路徑無法通
過路由達到的,于是目的主機無法通過TCP三次握手建立連接。在此期間因為TCP
套接口緩存隊列被迅速填滿,而拒絕新的連接請求。為了防止這些攻擊,部分UNIX
變種采用分離入站的套接口連接請求隊列,一隊列針對半打開套接口(SYN 接收,
SYN|ACK 發送), 另一隊列針對全打開套借口等待一個accept()調用,增加這兩隊
列可以很好的緩和這些SYN FLOOD攻擊并使對服務器的影響減到最小程度:

A. AIX
/usr/sbin/no -o clean_partial_conns=1
這個設置會指示內核隨機的從q0隊列中去掉半打開套接口來為新的套接口增加
所需空間。

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024
使q 隊列擁有接口等待來自應用程序的accept()調用.
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q0 2048
使q0 隊列能維護半打開套接口.

C. Tru64 UNIX
/sbin/sysconfig -r socket sominconn=65535
這個sominconn的值決定了系統能同時處理多少個相同的進入的SYN信息包.
/sbin/sysconfig -r socket somaxconn=65535
這個somaxconn值設置了系統能保留多少個待處理TCP連接.

D. HP-UX
/usr/sbin/ndd -set tcp_syn_rcvd_max 1024
/usr/sbin/ndd -set tcp_conn_request_max 200

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=1280
有效的增加q0的套接口隊列大小.
/sbin/sysctl -w net.ipv4.tcp_syn_cookies=1
啟用TCP SYN cookies支持,能有效的減輕SYN FLOOD的攻擊,但是這個參數會對一些
大的窗口引起一些性能問題(參看RFC1323 and RFC2018.

F. FreeBSD
sysctl -w kern.ipc.somaxconn=1024

G. IRIX
listen()隊列被硬性設置為32.但是系統實際采用待處理連接數為((3 * backlog) / 2) + 1,
其中的backlog數值最大值為49.

3,調整Redirects參數

惡意用戶可以使用IP重定向來修改遠程主機中的路由表,在設計良好的網絡中,
末端的重定向設置是不需要的,發送和接受重定向信息包都要關閉。

A. AIX
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

C. Tru64 UNIX
沒有推薦的調整設置.

D. HP-UX
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

F. FreeBSD
sysctl -w net.inet.icmp.drop_redirect=1
sysctl -w net.inet.icmp.log_redirect=1
sysctl -w net.inet.ip.redirect=0
sysctl -w net.inet6.ip6.redirect=0

G. IRIX
/usr/sbin/systune icmp_dropredirects to 1

4,調整ARP清理設置

通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產生資源耗竭和性能減低
攻擊。在Solaris中,有2個參數可以管理間隔的清理IP路由緩沖,針對未請求的
ARP響應可以通過arp_cleanup_interval調整,AIX可以通過artp_killc來設置。



A. AIX
/usr/sbin/no -o arpt_killc=20
B. Solaris
/usr/sbin/ndd -set /dev/arp arp_cleanup_interval 60000
C. Tru64 UNIX
沒有參考的調整設置.
D. HP-UX
默認設置為5分鐘.
E. Linux kernel 2.2
沒有參考的調整設置.
F. FreeBSD
sysctl -w net.link.ether.inet.max_age=1200
G. IRIX
沒有參考的調整設置.

5,調整源路由的設置

通過源路由,攻擊者可以嘗試到達內部IP地址 --包括RFC1918中的地址,所以
不接受源路由信息包可以防止你的內部網絡被探測。

A. AIX
/usr/sbin/no -o ipsrcroutesend=0
關閉源路由信息包發送.

/usr/sbin/no -o ipsrcrouteforward=0
如果你這個系統要做路由工作如防火墻,這個參數就很重要,關閉這個特征就
可以很好的防止轉發源路由信息包.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_src_route_forward 0
如果你這個系統要做路由工作如防火墻,這個參數就很重要,關閉這個特征就
可以很好的防止轉發源路由信息包.

C. Tru64 UNIX
沒有推薦的調整.

D. HP-UX
ndd -set /dev/ip ip_forward_src_routed 0
關閉這個特征就可以很好的防止轉發源路由信息包.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
丟棄所有源地址信息包.
/sbin/sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
不轉發源路由幀.

F. FreeBSD
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_sourceroute=0

G. IRIX
/usr/sbin/systune ipforward to 2

6. 調整TIME_WAIT setting 設置

在一些比較繁忙的WEB服務器上,許多套接口可能就處于TIME_WAIT狀態,這是
由于一些不正規編碼的客戶端應用程序沒有很正確的處理套接口所引起的,這
就可能引起如DDOS的攻擊。

A. AIX
沒有推薦設置.

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000

這個參數影響了TCP套接口保持TIME_WAIT狀態的時間數,默認情況下對于一個
繁忙的WEB服務器太高了,所以需要設置到低于每60秒,這個參數名字適用與
Solaris7或者更高的版本,在Solaris 7之前的版本,其名字不正確
的表識為tcp_close_wait_interval.

C. Tru64 UNIX
沒有推薦的調整設置.

D. HP-UX
ndd -set /dev/tcp tcp_time_wait_interval 60000
套接口將保持TIME_WAIT狀態不超過60秒.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.vs.timeout_timewait=60
套接口將保持TIME_WAIT狀態不超過60秒.

F. FreeBSD
沒有推薦的調整設置.

G. IRIX
/usr/sbin/systune tcp_2msl to 60

7,調整廣播ECHO響應

Smurf攻擊就是一個偽造的地址通過發送ICMP 8 0 (ECHO REQUEST) 信息到一個廣
播地址,一些IP堆棧默認情況下會響應這些信息,所以必須關閉這個特征。如果
這個主機作為防火墻使用(router),關閉這個特征就不能處理處理廣播。

A. AIX
/usr/sbin/no -o directed_broadcast=0
不響應直接廣播.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應直接廣播.
/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉發直接廣播.

C. Tru64 UNIX
沒有推薦調整設置.

D. HP-UX
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應直接廣播.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉發直接廣播.亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb
美日韩精品免费视频| 久久成人18免费网站| 一区二区在线视频| 久久久亚洲影院你懂的| 国产精品视频公开费视频| 成人免费看吃奶视频网站| 久久精品精品电影网| 欧美亚洲在线观看| 国产精品亚洲第一区| 日韩av在线免费观看| 久久精品国产亚洲精品| 精品亚洲aⅴ在线观看| 97超级碰碰碰久久久| 午夜精品久久久久久久99热| 91夜夜揉人人捏人人添红杏| 在线丨暗呦小u女国产精品| 欧美交受高潮1| 日韩欧美国产成人| 高跟丝袜一区二区三区| 日韩美女福利视频| 日韩av在线资源| 久久久久一本一区二区青青蜜月| 成人黄色在线观看| 中文字幕国产精品| 亚洲bt天天射| 超在线视频97| 日韩精品在线视频美女| 日韩中文字幕国产精品| 青青草99啪国产免费| 成人亚洲激情网| 国产日韩欧美中文| 国产成人精品久久亚洲高清不卡| 91福利视频网| 欧美黑人xxxⅹ高潮交| 亚洲精品久久久一区二区三区| 欧美性jizz18性欧美| 欧美亚洲国产成人精品| 欧美精品videos性欧美| 欧美一二三视频| 久久精品久久久久久国产 免费| 91中文在线观看| 91在线免费观看网站| 亚洲精品国产精品国自产在线| 97精品一区二区视频在线观看| 亚洲欧美另类国产| 欧美一级高清免费| 精品伊人久久97| 91久久精品美女| 最近2019年好看中文字幕视频| 国产欧美一区二区三区视频| 中文亚洲视频在线| 国产一区二区三区久久精品| 国产精品国产三级国产aⅴ9色| 97精品在线视频| 欧美激情视频网| 青青草精品毛片| 国产精品色悠悠| 免费不卡在线观看av| 在线观看久久av| 日韩在线精品一区| 91啪国产在线| 国产精品小说在线| 精品久久久久久久中文字幕| 91麻豆国产精品| 亚洲精品资源美女情侣酒店| 精品视频在线播放色网色视频| www高清在线视频日韩欧美| 91在线精品视频| 欧美成人免费va影院高清| www.美女亚洲精品| 国产精品亚洲精品| 欧美日韩亚洲精品一区二区三区| 91精品久久久久久久久久另类| 国产视频久久久久久久| 在线观看精品国产视频| 粉嫩av一区二区三区免费野| 国语自产精品视频在线看一大j8| 一本大道亚洲视频| 国产成人精品一区二区三区| 亚洲人成绝费网站色www| 97精品在线视频| 国产免费一区二区三区在线能观看| 国产精品成人观看视频国产奇米| 亚洲国产精品大全| 国产亚洲福利一区| 亚洲老板91色精品久久| 亚洲日本中文字幕| 日本一区二区在线免费播放| 中文字幕不卡在线视频极品| 欧美电影在线免费观看网站| 精品久久久久久久久国产字幕| 国产做受69高潮| 国产美女精品免费电影| 亚洲女同精品视频| 久久大大胆人体| 亚洲999一在线观看www| 国产精品视频永久免费播放| 国产免费一区二区三区在线观看| 日韩中文第一页| 中文字幕亚洲字幕| 欧美在线激情视频| 国内精品久久影院| 中文字幕视频一区二区在线有码| 亚洲美女黄色片| 懂色av影视一区二区三区| 国产精品成人av在线| 亚洲国产日韩精品在线| 一本大道香蕉久在线播放29| 18一19gay欧美视频网站| 国产精品91在线| 伊人久久大香线蕉av一区二区| 欧美性猛交xxxx乱大交| 亚洲国产成人精品女人久久久| 亚洲欧美中文字幕| 福利一区福利二区微拍刺激| 久久影视电视剧凤归四时歌| 69视频在线播放| 国产最新精品视频| 国产精品一区二区电影| 欧美日韩xxx| 国产精品久久国产精品99gif| 97av在线视频免费播放| 日本在线观看天堂男亚洲| 精品二区三区线观看| 亚洲第一av网站| 欧美成人午夜视频| 中文字幕成人在线| 日本高清不卡在线| 亚洲色图13p| 国产精品高精视频免费| 亚洲第一精品夜夜躁人人躁| 国产在线拍偷自揄拍精品| 欧美疯狂性受xxxxx另类| 精品成人乱色一区二区| 亚洲伊人久久大香线蕉av| 久久国产精品偷| 国产精品第一区| 亚洲福利小视频| 亚洲人成在线观看网站高清| 国产精品日韩在线播放| 91精品国产91久久久久久吃药| 欧美亚洲视频在线观看| 久久影院资源站| 亚洲天堂第二页| 亚洲香蕉成人av网站在线观看| 日韩激情视频在线播放| 91久久久久久久久久久久久| 久久精品久久久久| 欧美激情在线观看| 亚洲精品一区二区三区不| 欧美裸体xxxx极品少妇软件| 国内精品小视频在线观看| 97在线视频免费| 日韩在线视频线视频免费网站| 久久精品国产免费观看| 日产精品99久久久久久| 国产精品日韩专区| 日韩精品福利在线| 色综合久久久888| 日韩av最新在线观看| 亚洲最大av在线| 久久91超碰青草是什么| 久久伊人精品天天| 久久99国产综合精品女同|