1. Гость, мы просим Вас ознакомиться с Правилами Форума и Отказом от ответственности!

anti spoof syn

Тема в разделе 'Другие', создана пользователем salitypw, 14 окт 2013.

  1. TopicStarter Overlay

    salitypw Программист Пользователи

    Сообщения:
    673
    Лайки:
    458
    Пол:
    Мужской
    Репутация:
    8
    Команда:
    Easy Game Protection
    Страна:
    Japan Japan
    Так как в последнее время участились атаки на игровые сервера (да и не только) - решил выложить небольшой набор настроек для ваших серверных машин.

    Копипаст со статьи:

    # Для защиты от SYN атак включаем SYN-cookies
    sysctl -w net.ipv4.tcp_syncookies=1

    # Увеличиваем размер очереди полуоткрытых соединений (также полезно при SYN флуде) (default 512)
    sysctl -w net.ipv4.tcp_max_syn_backlog=4096

    # Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина,
    # она сразу ответит. Дефолтовое значение - 2 часа.
    sysctl -w net.ipv4.tcp_keepalive_time=60

    # Повторить пробу через десять секунд
    sysctl -w net.ipv4.tcp_keepalive_intvl=10

    # Количество проверок перед закрытием соединения
    sysctl -w net.ipv4.tcp_keepalive_probes=5

    # Фильтр обратного пути, защита от спуфинга (подмены адресов)
    sysctl -w net.ipv4.conf.default.rp_filter=1

    # Уменьшение времени удержания «полуоткрытых» соединений
    # Сделаем так, чтобы перепередача осуществлялась на 3 секунде
    # и полное время хранения полуоткрытых соединений в очереди составило 9 секунд
    sysctl -w net.ipv4.tcp_synack_retries=1

    # Изменяем время ожидания приема FIN до полного закрытия сокета
    sysctl -w net.ipv4.tcp_fin_timeout=10


    Потом перезагружаем сеть:
    service networking restart


    P. S. Естественно это будет работать только в том случае, если интенсивность атаки не превышает пропускную способность канала вашего сервера. Так же этот механизм защиты вызывает достаточно заметную нагрузку на процессор при атаке.
    Для работы данного механизма ядро системы должно быть собрано с опцией CONFIG_SYN_COOKIES .
    Последнее редактирование модератором: 14 окт 2013
    Brune, Сэкс, Oxxxy007 и 2 другим нравится это.
  2. pdev 14:23 Команда форума Администратор Программист Open Source Contributor

    Сообщения:
    1.409
    Лайки:
    1.407
    Пол:
    Мужской
    Репутация:
    7
    Команда:
    Indy
    Страна:
    Turkey Turkey
    где ссылка на статью?
  3. TopicStarter Overlay

    salitypw Программист Пользователи

    Сообщения:
    673
    Лайки:
    458
    Пол:
    Мужской
    Репутация:
    8
    Команда:
    Easy Game Protection
    Страна:
    Japan Japan
    Я не сохранял всю статью, копировал себе только набор настроек в текстовик (это было давно).
    Проверяли на Debian 7 - работает.

    P. S. Для работы данного механизма ядро системы должно быть собрано с опцией CONFIG_SYN_COOKIES .
  4. pdev 14:23 Команда форума Администратор Программист Open Source Contributor

    Сообщения:
    1.409
    Лайки:
    1.407
    Пол:
    Мужской
    Репутация:
    7
    Команда:
    Indy
    Страна:
    Turkey Turkey
  5. Plane Заблокированные

    Сообщения:
    235
    Лайки:
    115
    Пол:
    Мужской
    Репутация:
    0
    А мне говорил, что гайд будет
    oyyyy нравится это.
  6. Электрон B L A C K    L I S T

    Сообщения:
    188
    Лайки:
    124
    Пол:
    Мужской
    Репутация:
    -1
    Команда:
    ElDev
    Разумно выложить это
    Это как бы и есть гайд в стиле нажми сюда напиши что то сюда
  7. Brune B L A C K    L I S T

    Сообщения:
    507
    Лайки:
    171
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    Solo
    Спасибо за правила :D
  8. Kuльka Guest

    Репутация:
    0
    не за что, жди нагрузки на проц 99,9% =))
Черновик сохранён Черновик удалён

Поделиться этой страницей