暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

华为GaussDB T 配置服务器防止IP欺骗攻击

墨天轮 2019-09-23
797

配置服务器防止IP欺骗攻击

配置说明:

将rp_filter参数设置为1,可以对服务器每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径非最佳路径,则直接丢弃该数据包,这样可以有效防止服务器遭受IP欺骗攻击。

配置方法:

  • 以root用户运行sysctl -a命令查询服务器所有接口的rp_filter参数配置。

    sysctl -a | grep rp_filter | grep -v arp_filter net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.eth1.rp_filter = 1

  • 打开/etc/sysctl.conf文件,将步骤1查询的所有rp_filter为0的配置项修改为1,写入文件保存。

    vi /etc/sysctl.conf net.ipv4.conf.all.rp_filter = 1

  • 运行sysctl -p命令加载配置文件生效。

    sysctl -p

开启反向路由校验之后可能导致网卡出现丢包现象,可检查系统路由设置,确保此为正常配置。

推荐值:1

检查方法:

以root用户运行sysctl -a命令查询服务器所有接口的rp_filter参数配置。

sysctl -a | grep rp_filter | grep -v arp_filter

预期结果:1

风险等级:

「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论