Linux系统防止TCP洪水攻击的方法

小编给大家分享一下Linux系统防止TCP洪水攻击的方法，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！

#最关键参数，默认为5，修改为0 表示不要重发net.ipv4.tcp_synack_retries = 0#半连接队列长度net.ipv4.tcp_max_syn_backlog = 200000#系统允许的文件句柄的最大数目，因为连接需要占用文件句柄fs.file-max = 819200#用来应对突发的大并发connect 请求net.core.somaxconn = 65536#最大的TCP 数据接收缓冲（字节）net.core.rmem_max = 1024123000#最大的TCP 数据发送缓冲（字节）net.core.wmem_max = 16777216#网络设备接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目net.core.netdev_max_backlog = 165536#本机主动连接其他机器时的端口分配范围net.ipv4.ip_local_port_range = 10000 65535# ……省略其它……

注意，以下参数面对外网时，不要打开。因为副作用很明显，具体原因请google，如果已打开请显式改为0，然后执行sysctl -p关闭。因为经过试验，大量TIME_WAIT状态的连接对系统没太大影响：

#当出现 半连接 队列溢出时向对方发送syncookies，调大 半连接 队列后没必要net.ipv4.tcp_syncookies = 0#TIME_WAIT状态的连接重用功能net.ipv4.tcp_tw_reuse = 0#时间戳选项，与前面net.ipv4.tcp_tw_reuse参数配合net.ipv4.tcp_timestamps = 0#TIME_WAIT状态的连接回收功能net.ipv4.tcp_tw_recycle = 0#当出现 半连接 队列溢出时向对方发送syncookies，调大 半连接 队列后没必要net.ipv4.tcp_syncookies = 0#TIME_WAIT状态的连接重用功能net.ipv4.tcp_tw_reuse = 0#时间戳选项，与前面net.ipv4.tcp_tw_reuse参数配合net.ipv4.tcp_timestamps = 0#TIME_WAIT状态的连接回收功能net.ipv4.tcp_tw_recycle = 0

为了处理大量连接，还需改大另一个参数：

# vi /etc/security/limits.conf

在底下添加一行表示允许每个用户都最大可打开409600个文件句柄（包括连接）：

*        -    nofile     409600

以上是"Linux系统防止TCP洪水攻击的方法"这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注行业资讯频道！