页面打开中,请稍候...
www.Gzu521.com
| Gzu521.com我的学习网 |
|
三、 tcp相关内核配置参数 通过tcp配置参数可以控制tcp会话过程中的各个方面。 a) tcp_fin_timeout:在一个tcp会话过程中,在会话结束时,a首先向b发送一个fin包,在获得b的ack确认包后,a就进入fin wait2状态等待b的fin包然后给b发ack确认包。这个参数就是用来设置a进入fin wait2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。参数值为整数,单位为秒,缺省为180秒。 b) tcp_syn_retires:设置开始建立一个tcp会话时,重试发送syn连接请求包的次数。 参数值为小于255的整数,缺省值为10。假如你的连接速度很快,可以考虑降低该值来提高系统响应时间,即便对连接速度很慢的用户,缺省值的设定也足够大了。 3.tcp_window_scaling:设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值,为1时表示可变,为0时表示不可变。tcp/ip通常使用的窗口最大可达到65535 字节,对于高速网络,该值可能太小,这时候如果启用了该功能,可以使tcp/ip滑动窗口大小增大数个数量级,从而提高数据传输的能力。 四、 有关防止ip欺骗攻击的内核网络参数 假设有如下的情景: 1.1.1.1 2.2.2.2 在缺省状态下,路由器根据包的目的地址进行转发,所以路由器缺省是对来自任何地方 的包进行转发的。如上图所示,假如路由器的2.2.2.2接口(也即广域网接口)接收到一个包,该包的源地址为1.1.1.100(也即为intranet地址),虽然这是不可能或者说是不合理的,但是由于路由器的特性,路由器还是会将这个不合法的包转发到intranet。从而让黑客有了可乘之机,为其进行ip欺骗攻击打开了方便之门。   |
责任编辑:gzu521
您的位置:
