Solaris7 交流 -- 重新配置系统核心

System (port 80) may be under a SYN flood attack!  

新队列的大小也是可以调节的，繁忙的web服务器需要提高未连接队列的大小。默认的大  

小是1024，我们可以提高到4096。  

ndd –set /dev/tcp tcp_conn_req_max_q0 4096   

当然，一般情况下，核心的队列增大，系统的内存最好也应有相应的增加。  

12、连接耗尽攻击   

和SYN flood攻击不同，连接耗尽攻击不太常见。因为这种攻击必须使用真实IP，攻击的  

目标是已连接队列。许多系统有一个同时连接的上限，取决于核心参数和系统内存情况  

。作为通常的web服务器，这个上限值很难达到，因为http的连接是典型的短时连接。但  

是一个攻击者可能快速发送大量的连接请求，同时保持连接，这样正常访问者的连接就  

可能被服务器拒绝。  

我们可以通过优化系统核心和增加内存来缓解，但不是根本的方法。因为攻击者可能同  

时调动多台机器同时攻击。当然，我们可以在发现攻击以后，在防火墙或路由器上拒绝  

这些IP来源的连接。  

如果不通过网络设备，仅仅通过调节系统参数来缓解攻击。一方面，可以调节web   

server,如apache的timeout参数，减短连接保持时间，另一方面，我们可以将核心以连  

接队列参数增大(默认是128)。  

#ndd –set /dev/tcp tcp_conn_req_max_q 1024  

以上的方法能阻止大多数连接耗尽的攻击企图，除非攻击者调动更多的资源,发动大规模  

的DDOS,但这样会使攻击者更容易暴露。  

13、IP 欺骗   

IP欺骗基本原理：  

TCP连接的建立 :为了利用TCP连接交换数据，主机间首先必须建立一个连接。TCP建立连  

接时可以分为3个 步骤，称为三步握手法。如果主机A运行rlogin客户程序，并且希望连  

接到主机B上的rlogin daemon 服务器程序上，连接过程如图二所示。  

1 A ---SYN---> B  

2 A <--SYN/ACK--- B 

3 A ---ACK---> B  

图二  

需要提醒读者的是，主机A和B的TCP模块分别使用自己的序列编号。在时刻1时，客户端   

通过设置标志位SYN=1告诉服务器它需要建立连接。同时，客户端在其TCP头中的序列号   

域SEQ放置了它的初始序列号（ISN），并且告诉服务器序列号标示域是有效的，应该 被  

检查。在时刻2时，服务器端在接收了上面的SYN后，作出的反应是将自己的ISN和对客   

户端的ACKA发向客户端并且千知下一个期待获得的数据序列号是（ISN+1）。客户端在第  

一流时刻，对服务器的ISN进行确认。这时，数据传输就可以进行了。ISN与序列号的递  

增 了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种  

情 况，当主机启动后序列编号初始化为1，但实际上并非如此。初始序列号是由  

tcp_init函 数确定的。ISN每秒增加128000，如果有连接出现，每次连接将反计数器的  

数值增加 64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每  

9.32小时复位 一次。之所以这样，是因为这样有利于最大限度地减少旧有连接的信息干  

扰当前连接的 机会。这里运用了2MSL等待时间的概念（不在本文讨论的范围之内。）如  

果初始序列 号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一  

种情况，在 一个路由回路中的数据包最终跳出了循环，回到了“旧有”的连接（此时其  

实是不同于 前者的现有连接（，显然会发生对现有连接的干扰。 端口号 为了提供对  

TCP模块的并行访问，TCP提供了叫做端口的用户接口。端口被操作系统内核 利用来标示  

不同的网络进程，也就是严格区分传输层入口的标示（就是说，IP不关心他 们的存在）  

。TCP端口与IP地址一起提供网络端到端的通信。事实上，在任何时刻任何Internet连接  

都能由4个要素来措述：源IP地址、源地址端口号、目的IP地址和目的地址。采样目标主  

机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机， 同时建立  

起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置  

一个系统后门，以进行非授权操作。  

目前，RFC 1498定义了更好的随机ISN生成方法，使得这种攻击很难成功。对于solaris  

系统ISN生成有三种方式。  

0: 可预测的ISN  

1: 增强的ISN 随机生成  

2: RFC 1948描述的ISN生成方式  

所有版本的solaris默认生成方式值是1。2.5.1只有 0,1两种方式,2.6/7拥有0,1,2三种  

ISN 生成方式。  

我们可以修改/etc/default/inetinit文件来提高ISN的生成强度。  

将 TCP_STRONG_ISS=1改为 TCP_STRONG_ISS=2  

重起系统使他生效。对于solair 2.5.1,此方法无效。  

14、增加私有端口   

一般的情况下,1-1024端口被称为私有端口，只允许具有根权限的进程连接。但是有些大  

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 5 6 78 9 10 11 下一页

上一篇：Sun Solaris 用户手册 -- 三.系统安装   下一篇：Solaris7 交流 --- 进程管理、进程控制及cron处理

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】