作为最佳安全做法,请确认主机系统使用 IPv4 传输控制协议 (TCP) SYN Cookie。通过占据系统的 TCP 连接表并使连接处于 SYN_RCVD 状态,TCP SYN 洪水攻击可能导致出现拒绝服务。通过使用 SYN Cookie 可以在收到后续 ACK 之后才跟踪连接,从而确认启动器正在尝试有效的连接,而不是洪水攻击源。
这种方法并非以完全符合标准的方式运行,而只是在检测到洪水攻击状况时才会激活,其可以在实现系统防御的同时,继续为有效请求提供服务。
过程
- 运行 # cat /proc/sys/net/ipv4/tcp_syncookies 命令以确认主机系统是否使用 IPv4 TCP SYN Cookie。
- 将主机系统配置为使用 IPv4 TCP SYN Cookie。
- 打开 /etc/sysctl.conf 以配置主机系统。
- 如果该值未设置为
1,请将以下条目添加到文件或相应地更新现有条目。将值设置为1。net.ipv4.tcp_syncookies=1
- 保存更改并关闭文件。
- 运行
# sysctl -p以应用配置。
