快捷導(dǎo)航

UNIX IP Stack 調(diào)整指南

更新時(shí)間：2006年10月24日 00:00:00 作者：

本文的目的是為了調(diào)整UNIX IP堆棧以更有效的防止現(xiàn)今多種類型的攻擊，詳細(xì)
描述了一些UNIX服務(wù)系統(tǒng)中網(wǎng)絡(luò)服務(wù)如HTTP或者routing的推薦設(shè)置，其中系統(tǒng)
包括了如下不同的UNIX：

A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 和 RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10

下面敘述的一些調(diào)整參數(shù)和句法在重新啟動(dòng)后將不會(huì)自動(dòng)激活，所以如果你需要
在每次啟動(dòng)的時(shí)候長(zhǎng)期保持這些參數(shù)，你就需要增加這些實(shí)時(shí)命令到如下的啟動(dòng)
文件中：

AIX - /etc/rc.net
Solaris - /etc/init.d/inetinit
Tru64 UNIX - 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX - /etc/rc.config.d/nddconf
Linux kernel 2.2 - /etc/sysctl.conf
FreeBSD - /etc/rc.conf
IRIX - 使用systune命令

====================================================================

以下是一些IP堆棧調(diào)整建議：

1，調(diào)節(jié)TCP發(fā)送和接受空間(TCP send and receive spaces)

TCP發(fā)送和接受的空間直接影響TCP 窗口大小參數(shù)(TCP window size parameter),
一定程度上的窗口大小增加有助于更有效的傳輸，尤其是一些需要大數(shù)量傳輸?shù)?
服務(wù)如FTP和HTTP，默認(rèn)的一些設(shè)置不是每個(gè)系統(tǒng)都是最優(yōu)化的，一般我們需要
增加這個(gè)窗口大小為32768字節(jié)。除非你設(shè)置的時(shí)候很清楚的理解RFC1323(
http://www.ietf.org/rfc/rfc1323.txt?number=1323)和RFC2018(http://www.
ietf.org/rfc/rfc2018.txt?number=2018),否則你不要把這個(gè)值增加到高于64K字節(jié)。

A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768

C. Tru64 UNIX
沒有推薦的調(diào)整.

D. HP-UX
默認(rèn)情況下TCP發(fā)送和接受空間已經(jīng)設(shè)置為32768.

E. Linux kernel 2.2
Linux自動(dòng)分配TCP發(fā)送和接受空間并默認(rèn)共同支持RFC1323 (large window support,
net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).

F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768

G. IRIX
默認(rèn)情況下TCP發(fā)送和接受空間設(shè)置為64K字節(jié).

2，調(diào)整套接口序列防止SYN攻擊

各種網(wǎng)絡(luò)應(yīng)用軟件一般必須開放一個(gè)或者幾個(gè)端口供外界使用，所以其必定可以
會(huì)被惡意攻擊者向這幾個(gè)口發(fā)起拒絕服務(wù)攻擊，其中一個(gè)很流行的攻擊就是SYN
FLOOD，在攻擊發(fā)生時(shí)，客戶端的來(lái)源IP地址是經(jīng)過偽造的(spoofed)，現(xiàn)行的IP
路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā)，該IP包到達(dá)目的主機(jī)后返回路徑無(wú)法通
過路由達(dá)到的，于是目的主機(jī)無(wú)法通過TCP三次握手建立連接。在此期間因?yàn)門CP
套接口緩存隊(duì)列被迅速填滿，而拒絕新的連接請(qǐng)求。為了防止這些攻擊，部分UNIX
變種采用分離入站的套接口連接請(qǐng)求隊(duì)列，一隊(duì)列針對(duì)半打開套接口(SYN 接收,
SYN|ACK 發(fā)送), 另一隊(duì)列針對(duì)全打開套借口等待一個(gè)accept()調(diào)用，增加這兩隊(duì)
列可以很好的緩和這些SYN FLOOD攻擊并使對(duì)服務(wù)器的影響減到最小程度：

A. AIX
/usr/sbin/no -o clean_partial_conns=1
這個(gè)設(shè)置會(huì)指示內(nèi)核隨機(jī)的從q0隊(duì)列中去掉半打開套接口來(lái)為新的套接口增加
所需空間。

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024
使q 隊(duì)列擁有接口等待來(lái)自應(yīng)用程序的accept()調(diào)用.
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q0 2048
使q0 隊(duì)列能維護(hù)半打開套接口.

C. Tru64 UNIX
/sbin/sysconfig -r socket sominconn=65535
這個(gè)sominconn的值決定了系統(tǒng)能同時(shí)處理多少個(gè)相同的進(jìn)入的SYN信息包.
/sbin/sysconfig -r socket somaxconn=65535
這個(gè)somaxconn值設(shè)置了系統(tǒng)能保留多少個(gè)待處理TCP連接.

D. HP-UX
/usr/sbin/ndd -set tcp_syn_rcvd_max 1024
/usr/sbin/ndd -set tcp_conn_request_max 200

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=1280
有效的增加q0的套接口隊(duì)列大小.
/sbin/sysctl -w net.ipv4.tcp_syn_cookies=1
啟用TCP SYN cookies支持,能有效的減輕SYN FLOOD的攻擊，但是這個(gè)參數(shù)會(huì)對(duì)一些
大的窗口引起一些性能問題(參看RFC1323 and RFC2018.

F. FreeBSD
sysctl -w kern.ipc.somaxconn=1024

G. IRIX
listen()隊(duì)列被硬性設(shè)置為32.但是系統(tǒng)實(shí)際采用待處理連接數(shù)為((3 * backlog) / 2) + 1，
其中的backlog數(shù)值最大值為49.

3，調(diào)整Redirects參數(shù)

惡意用戶可以使用IP重定向來(lái)修改遠(yuǎn)程主機(jī)中的路由表，在設(shè)計(jì)良好的網(wǎng)絡(luò)中，
末端的重定向設(shè)置是不需要的，發(fā)送和接受重定向信息包都要關(guān)閉。

A. AIX
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

C. Tru64 UNIX
沒有推薦的調(diào)整設(shè)置.

D. HP-UX
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

F. FreeBSD
sysctl -w net.inet.icmp.drop_redirect=1
sysctl -w net.inet.icmp.log_redirect=1
sysctl -w net.inet.ip.redirect=0
sysctl -w net.inet6.ip6.redirect=0

G. IRIX
/usr/sbin/systune icmp_dropredirects to 1

4,調(diào)整ARP清理設(shè)置

通過向IP路由緩沖填充偽造的ARP條目可以讓惡意用戶產(chǎn)生資源耗竭和性能減低
攻擊。在Solaris中，有2個(gè)參數(shù)可以管理間隔的清理IP路由緩沖，針對(duì)未請(qǐng)求的
ARP響應(yīng)可以通過arp_cleanup_interval調(diào)整，AIX可以通過artp_killc來(lái)設(shè)置。

A. AIX
/usr/sbin/no -o arpt_killc=20
B. Solaris
/usr/sbin/ndd -set /dev/arp arp_cleanup_interval 60000
C. Tru64 UNIX
沒有參考的調(diào)整設(shè)置.
D. HP-UX
默認(rèn)設(shè)置為5分鐘.
E. Linux kernel 2.2
沒有參考的調(diào)整設(shè)置.
F. FreeBSD
sysctl -w net.link.ether.inet.max_age=1200
G. IRIX
沒有參考的調(diào)整設(shè)置.

5,調(diào)整源路由的設(shè)置

通過源路由，攻擊者可以嘗試到達(dá)內(nèi)部IP地址 --包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測(cè)。

A. AIX
/usr/sbin/no -o ipsrcroutesend=0
關(guān)閉源路由信息包發(fā)送.

/usr/sbin/no -o ipsrcrouteforward=0
如果你這個(gè)系統(tǒng)要做路由工作如防火墻，這個(gè)參數(shù)就很重要，關(guān)閉這個(gè)特征就
可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_src_route_forward 0
如果你這個(gè)系統(tǒng)要做路由工作如防火墻，這個(gè)參數(shù)就很重要，關(guān)閉這個(gè)特征就
可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

C. Tru64 UNIX
沒有推薦的調(diào)整.

D. HP-UX
ndd -set /dev/ip ip_forward_src_routed 0
關(guān)閉這個(gè)特征就可以很好的防止轉(zhuǎn)發(fā)源路由信息包.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
丟棄所有源地址信息包.
/sbin/sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
不轉(zhuǎn)發(fā)源路由幀.

F. FreeBSD
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_sourceroute=0

G. IRIX
/usr/sbin/systune ipforward to 2

6. 調(diào)整TIME_WAIT setting 設(shè)置

在一些比較繁忙的WEB服務(wù)器上，許多套接口可能就處于TIME_WAIT狀態(tài)，這是
由于一些不正規(guī)編碼的客戶端應(yīng)用程序沒有很正確的處理套接口所引起的，這
就可能引起如DDOS的攻擊。

A. AIX
沒有推薦設(shè)置.

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000

這個(gè)參數(shù)影響了TCP套接口保持TIME_WAIT狀態(tài)的時(shí)間數(shù)，默認(rèn)情況下對(duì)于一個(gè)
繁忙的WEB服務(wù)器太高了，所以需要設(shè)置到低于每60秒，這個(gè)參數(shù)名字適用與
Solaris7或者更高的版本，在Solaris 7之前的版本，其名字不正確
的表識(shí)為tcp_close_wait_interval.

C. Tru64 UNIX
沒有推薦的調(diào)整設(shè)置.

D. HP-UX
ndd -set /dev/tcp tcp_time_wait_interval 60000
套接口將保持TIME_WAIT狀態(tài)不超過60秒.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.vs.timeout_timewait=60
套接口將保持TIME_WAIT狀態(tài)不超過60秒.

F. FreeBSD
沒有推薦的調(diào)整設(shè)置.

G. IRIX
/usr/sbin/systune tcp_2msl to 60

7，調(diào)整廣播ECHO響應(yīng)

Smurf攻擊就是一個(gè)偽造的地址通過發(fā)送ICMP 8 0 (ECHO REQUEST) 信息到一個(gè)廣
播地址，一些IP堆棧默認(rèn)情況下會(huì)響應(yīng)這些信息，所以必須關(guān)閉這個(gè)特征。如果
這個(gè)主機(jī)作為防火墻使用(router)，關(guān)閉這個(gè)特征就不能處理處理廣播。

A. AIX
/usr/sbin/no -o directed_broadcast=0
不響應(yīng)直接廣播.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應(yīng)直接廣播.
/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉(zhuǎn)發(fā)直接廣播.

C. Tru64 UNIX
沒有推薦調(diào)整設(shè)置.

D. HP-UX
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不響應(yīng)直接廣播.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
不轉(zhuǎn)發(fā)直接廣播.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
不響應(yīng)直接廣播.

F. FreeBSD
sysctl -w net.inet.icmp.bmcastecho=0

G. IRIX
/usr/sbin/systune allow_brdaddr_srcaddr to 0

8，針對(duì)其他廣播探測(cè)的調(diào)整

其他還有2個(gè)廣播探測(cè)可以讓惡意用戶利用，一個(gè)就是地址掩碼查詢可以用來(lái)探測(cè)
網(wǎng)絡(luò)段大小和范圍。時(shí)間戳廣播可以映射和鑒定主機(jī)類型。

A. AIX
/usr/sbin/no -o icmpaddressmask=0
防止地址掩瑪查詢.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
防止地址掩瑪查詢.

/usr/sbin/ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
關(guān)閉對(duì)時(shí)間戳廣播詢問的響應(yīng).

C. Tru64 UNIX
沒有推薦的調(diào)整.

D. HP-UX
ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
防止泄露主機(jī)配置的網(wǎng)絡(luò)掩碼.

ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
關(guān)閉對(duì)時(shí)間戳廣播詢問的響應(yīng).

E. Linux kernel 2.2
沒有推薦的調(diào)整.

F. FreeBSD
sysctl -w net.inet.icmp.maskrepl=0

G. IRIX
使用ipfilterd 來(lái)阻塞不需要的ICMP類型.

9，調(diào)整參數(shù)以支持RFC1948

下面幾個(gè)調(diào)整會(huì)利用RFC1948(http://www.ietf.org/rfc/rfc1948.txt?number=1948)
TCP/IP序列號(hào)產(chǎn)生技術(shù)來(lái)保證給一個(gè)TCP 套接口的序列號(hào)碼非常難猜測(cè)：

B. Solaris
Set TCP_STRONG_ISS=2 in /etc/default/inetinit.
這需要重新啟動(dòng)才能使能.

G. IRIX
/usr/sbin/systune tcpiss_md5 to 1
（出處：viphot）

您可能感興趣的文章: