我正在运行Debian 6 – 64位系统(内核2.6.32-5-amd64),并且经常被DDOS充斥。 我调整了/etc/sysctl.conf下的networking参数,不让任何内核参数溢出。 尽pipe很多参数都很好,但我开始在** / var / log / messages **中观察“nf_conntrack:table full”消息,为了解决这个问题,我添加了一些进一步的优化并增加了参数。 这里是“ sysctl -a ”的一些输出,
net.netfilter.nf_conntrack_max = 256000 net.netfilter.nf_conntrack_count = 124 net.netfilter.nf_conntrack_buckets = 256000 net.netfilter.nf_conntrack_generic_timeout = 120 kernel.printk_ratelimit = 30 kernel.printk_ratelimit_burst = 200 这照顾了一段时间的“nf_conntrack:table full”消息,但是现在我不断收到以下消息,而且我的系统经常对其networking无响应。 我再次看到一些“ nf_conntrack:table full ”消息以及“ dst cache overflow ”的垃圾邮件,
http://paste.ubuntu.com/10748348/
我得到的攻击不够高,但是攻击者连续几个小时的洪水使我连续大约30k PPS。
这些产出也可能有用,
grep . /proc/sys/net/ipv4/route/* /proc/sys/net/ipv4/route/error_burst:1250 /proc/sys/net/ipv4/route/error_cost:250 /proc/sys/net/ipv4/route/gc_thresh:131072