centos防止syn攻擊(DDOS攻擊)方法

防止syn攻擊（DDOOS攻擊的一種）

代碼如下	複製代碼
iptables -I INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -I FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各種連接埠掃描

代碼如下	複製代碼
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping洪水攻擊（Ping of Death）

代碼如下	複製代碼
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Linux下設定

如果你的伺服器配置不太好，TCP TIME_WAIT通訊端數量達到兩、三萬，伺服器很容易被拖死。通過修改Linux核心參數，可以減少伺服器的TIME_WAIT通訊端數量。

TIME_WAIT可以通過以下命令查看：以下是程式碼片段：netstat -an | grep "TIME_WAIT" | wc -l 在Linux下，如CentOS，可以通過修改/etc/sysctl.conf檔案來達到目的。

增加以下幾行：以下是程式碼片段：

代碼如下	複製代碼
net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 1200 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.ip_local_port_range = 102465000 net.ipv4.tcp_max_syn_backlog = 8192 net.ipv4.tcp_max_tw_buckets = 5000 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries =