互聯(lián)網(wǎng)如同現(xiàn)實社會一樣充滿鉤心斗角，網(wǎng)站被DDOS也成為站長最頭疼的事。在沒有硬防的情況下，尋找軟件代替是最直接的方法，比如用 iptables，但是iptables不能在自動屏蔽，只能手動屏蔽。linux如何防止ddos攻擊?常見電腦黑客攻擊類型與預(yù)防方法是什么?一起和佰佰安全網(wǎng)看看吧。

用squid是利用端口映射的功能，可以將80端口轉(zhuǎn)換一下，其實一般的DDOS攻擊可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的參數(shù)就行了，默認(rèn)參數(shù)一般都很小，設(shè)為8000以上，一般的DDOS攻擊就可以解決了。上升到timeout階段，可以將/proc/sys/net/ipv4/tcp_fin_timeout設(shè)小點。

大家都在討論DDOS，個人認(rèn)為目前沒有真正解決的方法，只是在緩沖和防御能力上的擴充，跟黑客玩一個心理戰(zhàn)術(shù)，看誰堅持到最后，網(wǎng)上也有很多做法，例如syncookies等，就是復(fù)雜點。

sysctl -w net.ipv4.icmp_echo_ignore_all=1

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

sysctl -w net.ipv4.tcp_synack_retries="3"

iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood

# Limit 12 connections per second (burst to 24)

iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN

iptbales -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

虛擬主機服務(wù)商在運營過程中可能會受到黑客攻擊，常見的攻擊方式有SYN，DDOS等。

通過更換IP，查找被攻擊的站點可能避開攻擊，但是中斷服務(wù)的時間比較長。比較徹底的解決方法是添置硬件防火墻。不過，硬件防火墻價格比較昂貴?？梢钥紤]利用Linux系統(tǒng)本身提供的防火墻功能來防御。

抵御SYN

SYN攻擊是利用TCP/IP協(xié)議3次握手的原理，發(fā)送大量的建立連接的網(wǎng)絡(luò)包，但不實際建立連接，最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊列被占滿，無法被正常用戶訪問。

Linux內(nèi)核提供了若干SYN相關(guān)的配置，用命令：

sysctl -a | grep syn

看到：

net.ipv4.tcp_max_syn_backlog = 1024

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_synack_retries = 5

net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog是SYN隊列的長度，tcp_syncookies是一個開關(guān)，是否打開SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數(shù)。加大SYN隊列長度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數(shù)也有一定效果。

以上是小編的整理，希望對大家有幫助，學(xué)習(xí)更多的網(wǎng)絡(luò)安全小知識請關(guān)注佰佰安全網(wǎng)。

責(zé)任編輯:慕丹萍