https://javapipe.com/blog/iptables-ddos-protection/


kernel.printk = 4 4 1 7
kernel.panic = 10
kernel.sysrq = 0
kernel.shmmax = 4294967296
kernel.shmall = 4194304
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
vm.swappiness = 20
vm.dirty_ratio = 80
vm.dirty_background_ratio = 5
fs.file-max = 2097152
net.core.netdev_max_backlog = 262144
net.core.rmem_default = 31457280
net.core.rmem_max = 67108864
net.core.wmem_default = 31457280
net.core.wmem_max = 67108864
net.core.somaxconn = 65535
net.core.optmem_max = 25165824
net.ipv4.neigh.default.gc_thresh1 = 4096
net.ipv4.neigh.default.gc_thresh2 = 8192
net.ipv4.neigh.default.gc_thresh3 = 16384
net.ipv4.neigh.default.gc_interval = 5
net.ipv4.neigh.default.gc_stale_time = 120
net.netfilter.nf_conntrack_max = 10000000
net.netfilter.nf_conntrack_tcp_loose = 0
net.netfilter.nf_conntrack_tcp_timeout_established = 1800
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 20
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 20
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 20
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10
net.ipv4.tcp_slow_start_after_idle = 0
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_no_pmtu_disc = 1
net.ipv4.route.flush = 1
net.ipv4.route.max_size = 8048576
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_congestion_control = htcp
net.ipv4.tcp_mem = 65536 131072 262144
net.ipv4.udp_mem = 65536 131072 262144
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.udp_rmem_min = 16384
net.ipv4.tcp_wmem = 4096 87380 33554432
net.ipv4.udp_wmem_min = 16384
net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 400000
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rfc1337 = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_timestamps = 1
net.ipv4.tcp_sack = 1
net.ipv4.tcp_fack = 1
net.ipv4.tcp_ecn = 2
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_intvl = 60
net.ipv4.tcp_keepalive_probes = 10
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.rp_filter = 1

标签智能推荐:

Linux系统安全强化指南

内核模块一样公开新的漏洞。自编译内核建议编译您自己的内核,同时启用尽可能少的内核模块和尽可能多的安全性功能,以将内核的受攻击面保持在绝对最低限度。另外,应用内核强化补丁,例如如上所述的linux-hardened或grsecurity。发行版编译的内核还具有公共内核指针/符号,这对于漏洞利用非常有用。编译自己的内核将为您提供独特的内核符号,连同kptr_restrict,dmesg_restric

使用linux命令行调整非图形界面分辨率

第一步,调整linux内核显示参数:打开内核菜单配置列表文件:vi /boot/grub/menu.lst或者vi/boot/grub/gurb.conf在kernel设置一行末尾添加:vga=0x36D保存后退出,下图为示例:第二步,因为是调整linux内核参数,所以需要重启生效:reboot附录,分辨率参数设置对照表其中红线所画是示例所示的参数:

真正ddos防御之道,简单干脆有效!

图啥意思呢?就是哥的最高防御是600G。 没错,基本对当时的游戏没啥大的影响,10秒内恢复。因为时间有限,我待会要工作所以长话短说吧1:记住,在这个时代,如果你觉得ddos很可怕,是因为你用了所谓的云服务器云服务器再ddos面前就是一坨屎2:ddos几乎没有任何办法,除非你花钱。3:花钱要花在刀口上,防ddos的根源在电信,记住,在运营商。4:为什么阿里云的防护那么贵?因为中间多收了一层

云呐|做运维需要全方位考虑问题

时候都是这样,有些地方来得速度慢,可是有些人去的速度不慢,很头痛,需要抓包再逐步排查。9.性能问题,一开始也许不错。当压力出现时,数据库可能会有缓慢的查询,需要检查和解决。也许有些网站的某些用户无法访问,或访问速度慢,需要进行检查。这是最难得的,需要各方面的知识,若遇上突如其来的无法访问,那就回想以前做过什么操作,再有针对性地检查。10.专注于版本问题,与前面的7层不同,nginx1.9将支持TC

恶意代码分析实战一:专业术语入门知识

分析?恶意代码的类型:恶意代码分析实战一:专业术语入门知识什么是恶意代码分析?恶意代码也称为恶意软件:任何以某种方式对用户、计算机或网络造成破坏的软件,包括计算机病毒、木马、蠕虫、内核套件、勒索软件、间谍软件,等等。恶意代码的类型:恶意代码类型种类非常多,这里只列出比较常见的8中类型。后门:病毒在电脑里面潜伏,开一个门方便黑客连进来进行操作。僵尸网络:CC攻击,DDOS工具,利用大批量肉鸡发送指令

kernel panic如何分析?(包含grub)

生产内核&捕获内核kernelpanic如何分析?Kdump文档:https://www.kernel.org/doc/Documentation/kdump/kdump.txtkdump是一种在系统崩溃(crash)或系统卡住(hang)时的通过转储系统内存的服务,是通过开启第二个内核(捕获内核)kdump是一种基于kexec的内核崩溃转储技术。kdump需要两个内核,分别是生产内核和捕

Nginx总结(九)Nginx服务器高性能优化配置--轻松实现10万并发访问量

优化nginx的连接处理机制在于不同的操作系统会采用不同的I/O模型,Linux下,nginx使用epoll的I/O多路复用模型,在freebsd使用kqueue的IO多路复用模型,在solaris使用/dev/pool方式的IO多路复用模型,在windows使用的icop等等。 要根据系统类型不同选择不同的事务处理模型,我们使用的是Centos,因此将nginx的事件处理模型调整为ep

FireWall、UTM、GAP、抗DDOS防火墙

要功能有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。3)网闸的部署: 5.抗DDOS防火墙:1)抗DDOS防火墙介绍:DDOS全名是DistributionDenialofservice(分布式拒绝服务攻击)DoS的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDoS防火墙其独特抗攻击算法

Linux OOM killer

Linux内核有个机制叫OOMkiller(Out-Of-Memorykiller),该机制会监控那些占用内存过大,尤其是瞬间很快消耗大量内存的进程,为了防止内存耗尽,内核会把该进程杀掉,监控是正常的。防止重要的系统进程触发(OOM)机制而被杀死:可以设置参数/proc/PID/oom_adj为-17,临时关闭linux内核的OOM机制。保护某个进程不被内核杀掉可以这样操作:echo-17>

加密和安全问题总结

己私钥,对证书申请者的公约进行签名认证。数字证书解决了如何安全分发公钥的问题,奠定了信任链的基础。引入数字证书的目的是为了保证公钥不被篡改,即使被篡改了也能识别出来5.3A认证是什么认证授权审计6.什么叫CC攻击?什么叫DDOS攻击?CC攻击,主要是用来攻击页面的,模拟多个用户不停的对你的页面进行访问,从而使你的系统资源消耗殆尽。DDOS攻击,中文名叫分布式拒绝服务攻击,指借助服务器技术将多个计算