确认 VMware 设备主机使用 IPv4 TCP Syncookies。

关于此任务

TCP SYN 洪水攻击会使系统的 TCP 连接表被 SYN_RCVD 状态的连接填充,导致服务被拒绝。Syncookies 会持续阻止跟踪连接,直到收到后续应答,确认启动器正尝试进行有效连接且不是洪水攻击源。此方法不会以完全符合标准的方式运行,而是仅在洪水状况下激活,它允许保护系统并能够继续处理有效请求。

过程

  1. 请在 VMware 设备主机上运行 # cat /proc/sys/net/ipv4/tcp_syncookies 命令,确认这些主机使用 IPv4 TCP Syncookies。

    如果主机已配置为拒绝 IPv4 转发,此命令将为 /proc/sys/net/ipv4/tcp_syncookies 返回值 1。如果虚拟机配置正确,则不需要进一步操作。

  2. 如果需要将虚拟设备配置为使用 IPv4 TCP Syncookies,请在文本编辑器中打开 /etc/sysctl.conf
  3. 找到 net.ipv4.tcp_syncookies=1 条目。

    如果此条目的值当前未设置为 1 或者不存在,请添加该条目或相应更新现有条目。

  4. 保存您所做的任何更改并关闭文件。