[轉自]http://hi.baidu.com/chinaw3/blog/item/f7dc2923ba43314f925807c5.html

大量的 Limiting open port RST response from xxx to xxx packets per second
或 Limiting closed port RST response from xxx to xxx packets per second 訊息輸出

若是open port RST ,而你的server服務量又大,那表示net.inet.icmp.icmplim不敷使用

若是closed port RST,就表示有人大量在掃你未開放的port,你的server正回應RST 先注意FreeBSD幾個/etc/sysctl 調整的參數

net.inet.icmp.icmplim 限制的數目,預設為200
net.inet.icmp.icmplim_output 控制是否輸出,如果不想看到就設為0,1為開啟

禁止發送 closed port RST 回應(黑洞模式)
net.inet.tcp.blackhole=1
net.inet.udp.blackhole=1

[icmplim的含義好像是規定內核每秒接受ICMP包的最大數量。你看到的信息是由內核中的一個函數通過測試每秒接受ICMP包的實際最大數量所打印的。
當實際的數量大於icmplim時就會打印你看到的信息。from xxx表示當前實際接受的數量,to xxx就是你的缺省數量。
這種信息只是讓你知道系統曾經的狀態。你這裡的信息意思是:曾經有個時候,你機器中的ICMP不可達包的數量每秒達到了952.]

[禁止回應 RST;這種做法的一個明顯的缺陷是,一旦服務死掉,探測程序必須等待超時才能夠知道服務的狀態,對於前面有負載均衡設備的服務器而言,這種設置是不能使用的;此外,完全禁止掃瞄,並不會提高任何安全性。 ]

棄 SYN+FIN 包有用嗎

診斷:一些人建議採用 net.inet.tcp.drop_synfin=1 來防止 TCP 工具,如 nmap 探測操作系統。這是一種十分幼稚的建議。
真相:TCP探測工具並不僅僅依賴 SYN+FIN 來判斷操作系統。拋棄 SYN+FIN 包是違反 TCP 協議的,不建議使用這個選項。




    全站熱搜

    zgod 發表在 痞客邦 留言(0) 人氣()