- /proc/sys/net/ipv4/tcp_syncookies
SYN Cookies模块可以在系统随机端口(1024:65535)即将用完时自动启动,用来应对Dos攻击。当启动SYN Cookie时,主机在发送SYN/ACK确认包前,会要求Client端在短时间内回复一个序列号,这个序列号包含许多原本SYN封包内的信息,包括IP、port等。Client端回复正确的话,主机确定该包可信,否则不予理会。
#echo "1">/proc/sys/net/ipv4/tcp_syncookies
- /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
取消对广播icmp包的回应
#echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- /proc/sys/net/ipv4/conf/网络接口/*
例如eth0接口的相关设定数据在/proc/sys/net/ipv4/conf/eth0/内
rp_filter:成为逆向路径过滤,可以由此分析网络接口的路由信息配合封包的来源地址,来分析该封包是否为合理。举例来说,假设两块网卡eth0192.168.1.0/24,eth1为public IP。那这个封包就不合理,应予以丢弃。这个设定值建议可以启动。
log_martians:这个设定数据可以来启动记录不合法IP来源,例如来源0.0.0.0、127.0.0.1、及IP来源。记录的数据默认放置到核心放置的登录档/var/log/message
accept_source_route:某些路由器启动这个设定值,可以取消这个设定值。
accept_redirects:当你在同一个实体网络内假设一部路由器,但这个实体网络有两个IP网络,例如192.168.0.0/24 192.168.1.0/24 这时192.168.0.100想要向192.168.1.100传送信息时,路由器可能会传送一个ICMP redirect封包告知192.168.0.100直接传送数据给192.168.1.100即可,而不需要透过路由器。建议关闭。
send_redirects:与上一个类似,只是此值为发送一个ICMP redirect封包。建议关闭。