作为最佳安全做法,请确认主机系统使用 IPv4 传输控制协议 (TCP) Syncookies。通过占据系统的 TCP 连接表并使连接处于 SYN_RCVD 状态,TCP SYN 洪水攻击可能导致出现拒绝服务。通过使用 Syncookies,可以在收到后续 ACK 之后才跟踪连接,从而确认启动器正在尝试有效的连接,而不是洪水攻击源。

关于此任务

这种方法并非以完全符合标准的方式运行,而只是在检测到洪水攻击状况时才会激活,其可以在实现系统防御的同时,继续为有效请求提供服务。

过程

  1. 运行 # cat /proc/sys/net/ipv4/tcp_syncookies 命令以确认主机系统是否使用 IPv4 TCP Syncookies。
  2. 将主机系统配置为使用 IPv4 TCP syncookies。
    1. 打开 /etc/sysctl.conf 以配置主机系统。
    2. 如果该值未设置为 1,请将以下条目添加到文件或相应地更新现有条目。将值设置为 1
      net.ipv4.tcp_syncookies=1 
    3. 保存更改并关闭文件。