世界500强企业的主机系统安全配置标准(9)

世界500强企业的主机系统安全配置标准

现在有一种流行的攻击方式是SYN洪水攻击，攻击者通过使用大量伪造的连接请求信息来填满被攻击服务器的套接字队列。要防止这种方式的攻击，可以通过增加套接字队列的大小和数量来进行防护，分流入站的套接字连接请求，例如，有两个队列，一个针对半打开套接字(SYN收到, SYN|ACK已经发送), 另一个队列对于已打开套接字等待从应用程序发出的accept()请求。通过这些设置来减轻SYN攻击造成的影响，从而提高了系统的稳定性和可靠性。

通过以下命令或配置来增加套接字队列的大小：

REDHAT Linux:在/etc/sysctl.conf文件中添加

net.ipv4.tcp_max_syn_backlog=1280定义，增大套接字队列的大小； SOLARIS: 在/etc/init.d/inetinit或/etc/init.d/secure_ndd文件中添加

/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024定义，增大套接字队列的大小和数量，q套接字队列将单独等待从应用程序发出的accept()请求；

AIX: 在/etc/文件中添加/usr/sbin/no -o clean_partial_conns=1定义，使得系统内核随机地删除在对了q0中的半打开套接字请求。

5.1.2 重定向

IP重定向通常用来修改远程主机的路由表信息，必须禁止发送和接收重定向信息。

REDHAT:在/etc/sysctl.conf文件中添加如下配置定义：

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.all.accept_redirects=0

SOLARIS:在/etc/init.d/inetinit中添加如下配置定义：

/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1

/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

AIX: 在/etc/添加如下配置定义：

/usr/sbin/no -o ipignoreredirects=1

/usr/sbin/no -o ipsendredirects=0

5.1.3 源站路由

利用源站路由，攻击者可以尝试到达内部IP地址，所以必须禁止接受源站路由数据包来防止对于内部网络的侦测。

REDHAT: 在/etc/sysctl.conf文件中添加如下配置来丢弃所有的源站路由数据包， net.ipv4.conf.all.accept_source_route=0

下列配置用来禁止转发相关的源站路由数据包。

net.ipv4.conf.all.forwarding=0

net.ipv4.conf.all.mc_forwarding=0

对于内核版本2.4以上：在/etc/sysctl.conf添加如下配置。