The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Предотвращение DoS атак в FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Предотвращение DoS атак в FreeBSD"  +/
Сообщение от auto_tips on 11-Ноя-04, 21:27 
* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах;
* "sysctl -w net.inet.tcp.blackhole=2" -  все пакеты на закрытый порт отбрасываются без отсылки RST;
* "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для  закрытых портов;
* "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов,
      максимальное количество  ICMP Unreachable и TCP RST пакетов в секунду;
* "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов;
* Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1; sysctl kern.polling.user_frac=50);

URL: http://www.bsdportal.ru/viewtopic.php?t=3322
Обсуждается: http://www.opennet.dev/tips/info/748.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от AoL email on 11-Ноя-04, 21:27 
А какой смысл device polling'а?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от Gezm0 email(ok) on 12-Ноя-04, 02:21 
Написано доходчиво и внятно. Интересует, собственно, насколько работоспособно и не убьёт ли сетку на freebsd 5.3-stable. На боевом тазике по граблям ходить боязно, а сымитировать на подопытном сервере работу боевого тазика затруднительно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от NAIR (ok) on 16-Ноя-04, 00:01 
Действительно красиво и просто. Так всё же делал ли кто это на боевой машине?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от вот.. on 16-Ноя-04, 05:12 
Я делал, кроме имхо бессмысленного девайс поллинга, только у меня еще и:

options         RANDOM_IP_ID      
options         TCP_DROP_SYNFIN

И в sysctl:

security.bsd.see_other_uids=0
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.link.ether.inet.max_age=1200
net.inet.icmp.maskrepl=0


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от NAIR (??) on 24-Ноя-04, 21:29 
И как помогло? И как понять то , что действительно помогло?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от Oleg email(??) on 31-Мрт-06, 10:22 
Ксли у тебя сетевуха пулинг не поддерживает, это не значит что он бессмысленный девайс.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Предотвращение DoS атак в FreeBSD"  +/
Сообщение от wp2 email on 04-Сен-09, 21:42 
>sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для  закрытых портов

а они что не отбрасываются? А что с ними происходит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру