A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10
下面敘述的一些調(diào)整參數(shù)和句法在重新啟動后將不會自動激活,所以如果你需要在每次啟動的時候長期保持這些參數(shù),你就需要增加這些實時命令到如下的啟動文件中:
AIX - /etc/rc.net
Solaris - /etc/init.d/inetinit
Tru64 UNIX - 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX - /etc/rc.config.d/nddconf
Linux kernel 2.2 - /etc/sysctl.conf
FreeBSD - /etc/rc.conf
IRIX - 使用systune命令
=============================================================
以下是一些IP堆棧調(diào)整建議:
1,調(diào)節(jié)TCP發(fā)送和接受空間(TCP send and receive spaces)
TCP發(fā)送和接受的空間直接影響TCP 窗口大小參數(shù)(TCP window size parameter), 一定程度上的窗口大小增加有助于更有效的傳輸,尤其是一些需要大數(shù)量傳輸?shù)姆?wù)如FTP和HTTP,默認(rèn)的一些設(shè)置不是每個系統(tǒng)都是最優(yōu)化的,一般我們需要增加這個窗口大小為32768字節(jié)。除非你設(shè)置的時候很清楚的理解RFC1323(http://www.ietf.org/rfc/rfc1323.txt?number=1323)和RFC2018(http://www.ietf.org/rfc/rfc2018.txt?number=2018),否則你不要把這個值增加到高于64K字節(jié)。
A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768
B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768
C. Tru64 UNIX
沒有推薦的調(diào)整.
D. HP-UX
默認(rèn)情況下TCP發(fā)送和接受空間已經(jīng)設(shè)置為32768.
E. Linux kernel 2.2
Linux自動分配TCP發(fā)送和接受空間并默認(rèn)共同支持RFC1323 (large window support, net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).
F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768
G. IRIX
默認(rèn)情況下TCP發(fā)送和接受空間設(shè)置為64K字節(jié).
2,調(diào)整套接口序列防止SYN攻擊
各種網(wǎng)絡(luò)應(yīng)用軟件一般必須開放一個或者幾個端口供外界使用,所以其必定可以會被惡意攻擊者向這幾個口發(fā)起拒絕服務(wù)攻擊,其中一個很流行的攻擊就是SYNFLOOD,在攻擊發(fā)生時,客戶端的來源IP地址是經(jīng)過偽造的(spoofed),現(xiàn)行的IP路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā),該IP包到達(dá)目的主機(jī)后返回路徑無法通過路由達(dá)到的,于是目的主機(jī)無法通過TCP三次握手建立連接。在此期間因為TCP套接口緩存隊列被迅速填滿,而拒絕新的連接請求。為了防止這些攻擊,部分UNIX變種采用分離入站的套接口連接請求隊列,一隊列針對半打開套接口(SYN 接收, SYN|ACK 發(fā)送), 另一隊列針對全打開套借口等待一個accept()調(diào)用,增加這兩隊列可以很好的緩和這些SYN FLOOD攻擊并使對服務(wù)器的影響減到最小程度:
A. AIX
/usr/sbin/no -o clean_partial_conns=1
這個設(shè)置會指示內(nèi)核隨機(jī)的從q0隊列中去掉半打開套接口來為新的套接口增加所需空間。
B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024
使q 隊列擁有接口等待來自應(yīng)用程序的accept()調(diào)用.
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q0 2048
使q0 隊列能維護(hù)半打開套接口.
C. Tru64 UNIX
/sbin/sysconfig -r socket sominconn=65535
這個sominconn的值決定了系統(tǒng)能同時處理多少個相同的進(jìn)入的SYN信息包.
/sbin/sysconfig -r socket somaxconn=65535
這個somaxconn值設(shè)置了系統(tǒng)能保留多少個待處理TCP連接.
D. HP-UX
/usr/sbin/ndd -set tcp_syn_rcvd_max 1024
/usr/sbin/ndd -set tcp_conn_request_max 200
E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=1280
有效的增加q0的套接口隊列大小.
/sbin/sysctl -w net.ipv4.tcp_syn_cookies=1
啟用TCP SYN cookies支持,能有效的減輕SYN FLOOD的攻擊,但是這個參數(shù)會對一些大的窗口引起一些性能問題(參看RFC1323 and RFC2018.
F. FreeBSD
sysctl -w kern.ipc.somaxconn=1024
G. IRIX
listen()隊列被硬性設(shè)置為32.但是系統(tǒng)實際采用待處理連接數(shù)為((3 * backlog) / 2) + 1,其中的backlog數(shù)值最大值為49.
3,調(diào)整Redirects參數(shù)
惡意用戶可以使用IP重定向來修改遠(yuǎn)程主機(jī)中的路由表,在設(shè)計良好的網(wǎng)絡(luò)中,末端的重定向設(shè)置是不需要的,發(fā)送和接受重定向信息包都要關(guān)閉。
A. AIX
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0
B. Solaris
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0
C. Tru64 UNIX
沒有推薦的調(diào)整設(shè)置.
D. HP-UX
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0
E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
F. FreeBSD
sysctl -w net.inet.icmp.drop_redirect=1
sysctl -w net.inet.icmp.log_redirect=1
sysctl -w net.inet.ip.redirect=0
sysctl -w net.inet6.ip6.redirect=0
G. IRIX
/usr/sbin/systune icmp_dropredirects to 1
4,調(diào)整ARP清理設(shè)置
通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產(chǎn)生資源耗竭和性能減低攻擊。在Solaris中,有2個參數(shù)可以管理間隔的清理IP路由緩沖,針對未請求的ARP響應(yīng)可以通過arp_cleanup_interval調(diào)整,AIX可以通過artp_killc來設(shè)置。
| 共2頁: 1 [2] 下一頁 | ||
|
