IPV4的内核管理功能/proc/sys/net/ipv4/*
/etc/sysctl.conf文件记录了系统的设置值
/proc/sys/net/ipv4/tcp_syncookies(在负载较高的服务环境下不建议开启)
client对server发起tcp连接时,server在收到SYN数据包后,要求client回复一个序号,序号包括原SYN信息ip、port等,若client正常回复,server才会发送SYN/ACK建立后续连接(防SYN Flooding)
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts(建议开启)
不对广播icmp数据包进行回应,icmp_echo_ignore_all则表示不对所以的icmp包回应
/proc/sys/net/ipv4/conf/接口/*
rp_filter:逆向路径过滤,ip1对应的是eth0网卡,若从eth1网卡收到ip1则不合理,应丢弃(开启)
log_martians:过滤不合法的ip来源,如收到0.0.0.0 和class E的ip是不合法的(开启)
accept_redirects:来源通过本主机转发,但有一条更好的路径不需要通过本主机(建议关闭)
send_redirects:上一个基础上,发送icmp redirects通知(建议关闭)
修改:echo 1 > /proc/sys..... 或 进/etc/sysctl.conf修改
本文出自 “Call me Boxin” 博客,请务必保留此出处http://boxinknown.blog.51cto.com/10435935/1665243
原文:http://boxinknown.blog.51cto.com/10435935/1665243