anti spoof syn

Так как в последнее время участились атаки на игровые сервера (да и не только) - решил выложить небольшой набор настроек для ваших серверных машин.

Копипаст со статьи:

# Для защиты от SYN атак включаем SYN-cookies
sysctl -w net.ipv4.tcp_syncookies=1

# Увеличиваем размер очереди полуоткрытых соединений (также полезно при SYN флуде) (default 512)
sysctl -w net.ipv4.tcp_max_syn_backlog=4096

# Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина,
# она сразу ответит. Дефолтовое значение - 2 часа.
sysctl -w net.ipv4.tcp_keepalive_time=60

# Повторить пробу через десять секунд
sysctl -w net.ipv4.tcp_keepalive_intvl=10

# Количество проверок перед закрытием соединения
sysctl -w net.ipv4.tcp_keepalive_probes=5

# Фильтр обратного пути, защита от спуфинга (подмены адресов)
sysctl -w net.ipv4.conf.default.rp_filter=1

# Уменьшение времени удержания «полуоткрытых» соединений
# Сделаем так, чтобы перепередача осуществлялась на 3 секунде
# и полное время хранения полуоткрытых соединений в очереди составило 9 секунд
sysctl -w net.ipv4.tcp_synack_retries=1

# Изменяем время ожидания приема FIN до полного закрытия сокета
sysctl -w net.ipv4.tcp_fin_timeout=10


Потом перезагружаем сеть:
service networking restart


P. S. Естественно это будет работать только в том случае, если интенсивность атаки не превышает пропускную способность канала вашего сервера. Так же этот механизм защиты вызывает достаточно заметную нагрузку на процессор при атаке.
Для работы данного механизма ядро системы должно быть собрано с опцией CONFIG_SYN_COOKIES .

Я не сохранял всю статью, копировал себе только набор настроек в текстовик (это было давно).
Проверяли на Debian 7 - работает.

P. S. Для работы данного механизма ядро системы должно быть собрано с опцией CONFIG_SYN_COOKIES .

А мне говорил, что гайд будет

Разумно выложить это

Это как бы и есть гайд в стиле нажми сюда напиши что то сюда

Спасибо за правила

не за что, жди нагрузки на проц 99,9% =))