通過配置xinetd防止拒絕服務(wù)攻擊的方法如下:
1) 限制一個IP地址的連接數(shù)
通過限制一個主機的連接數(shù),從而防止某個主機獨占某個服務(wù)。
per_source=5
這里每個IP地址的連接數(shù)是5個。
2) 限制日志文件大小,防止磁盤空間被填滿
許多攻擊者知道大多數(shù)服務(wù)需要寫入日志。入侵者可以構(gòu)造大量的錯誤信息并發(fā)送出來,服務(wù)器記錄這些錯誤,可能造成日志文件非常龐大,甚至會塞滿硬盤。同時會讓管理員面對大量的日志,而不能發(fā)現(xiàn)入侵者真正的入侵途徑。因此,限制日志文件大小是防范拒絕服務(wù)攻擊的一個方法。
log_type FILE.1 /var/log/myservice.log 8388608 15728640
這里設(shè)置的日志文件FILE.1臨界值為8MB,到達此值時,syslog文件會出現(xiàn)告警,到達15MB,系統(tǒng)會停止所有使用這個日志系統(tǒng)的服務(wù)。
3) 限制負載
xinetd還可以使用限制負載的方法防范拒絕服務(wù)攻擊。用一個浮點數(shù)作為負載系數(shù),當負載達到這個數(shù)目的時候,該服務(wù)將暫停處理后續(xù)的連接。
max_load = 2.8
上面的設(shè)定表示當一項系統(tǒng)負載達到2.8時,所有服務(wù)將暫時中止,直到系統(tǒng)負載下降到設(shè)定值以下。
說明 要使用這個選項,編譯時應(yīng)加入“--with-loadavg”,xinetd將處理max-load配置選項,從而在系統(tǒng)負載過重時關(guān)閉某些服務(wù)進程,來實現(xiàn)防范某些拒絕服務(wù)攻擊。
4) 限制所有服務(wù)器數(shù)目(連接速率)
xinetd可以使用cps選項設(shè)定連接速率,下面的例子:
cps = 25 60
上面的設(shè)定表示服務(wù)器最多啟動25個連接,如果達到這個數(shù)目將停止啟動新服務(wù)60秒。在此期間不接受任何請求。
5) 限制對硬件資源的利用
通過rlimit_as和rlimit_cpu兩個選項可以有效地限制一種服務(wù)對內(nèi)存、中央處理器的資源占用:
rlimit_as = 8M
rlimit_cpu=20
上面的設(shè)定表示對服務(wù)器硬件資源占用的限制,最多可用內(nèi)存為8MB,CPU每秒處理20個進程。
xinetd的一個重要功能是它能夠控制從屬服務(wù)可以利用的資源量,通過它的以上設(shè)置可以達到這個目的,有助于防止某個xinetd服務(wù)占用大量資源,從而導(dǎo)致“拒絕服務(wù)”情況的出現(xiàn)。
6) 限制同時運行的進程數(shù)
通過設(shè)置instances選項設(shè)定同時運行的并發(fā)進程數(shù):
instances=20
當服務(wù)器被請求連接的進程數(shù)達到20個時,xinetd將停止接受多出部分的連接請求。直到請求連接數(shù)低于設(shè)定值為止。
網(wǎng)頁名稱:如何配置xinetd防止拒絕服務(wù)攻擊
網(wǎng)頁地址:http://m.newbst.com/news13/105213.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站收錄、軟件開發(fā)、自適應(yīng)網(wǎng)站、網(wǎng)站排名、服務(wù)器托管、網(wǎng)頁設(shè)計公司
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)