ecs系统参数调整,应对tcp洪水攻击,打开文件/etc/sysctl.conf,配置如下参数
执行如下命令,使配置文件生效
一个 http 请求通常包括头部、url、methods 等,服务器需要接收整个 http 请求后会做出响应。恶意用户发送缓慢的 http 请求,比如一个字节一个字节的发送头部,服务器将一直处于 wating 状态,从而耗费服务器的资源。haproxy 通过配置 timeout http-request 参数,当一个用户的请求时间超过设定值时,haproxy 断开与该用户的连接。示例compose模板如下:
生成的haproxy配置文件为:
通过 telnet 登录验证结果
以网站为例,普通用户访问网站,或者从网站下载东西时,浏览器一般会建立 5-7 个 tcp 链接。当一个恶意打开了大量 tcp 链接时,耗费服务器大量资源,影响其它用户的访问,因此我们需要根据实际情况,限制同一个用户的链接数。示例compose模板如下:
利用 apache 测试工具做验证,和服务器一直保持建立 10 个链接。
用 telnet 打开第 11 个链接,服务器拒绝该链接。
仅仅限制单个用户的并发链接数并意味着万事大吉,如果用户在短时间内向服务器不断的发送建立和关闭链接请求,也会耗费服务器资源,影响服务器端的性能,因此需要控制单个用户的访问速率。
通常情况下,考虑到用户通过浏览器一般会建立 5-7 条 tcp 链接,我们可以认为普通用户在 3 秒内不应该建立超过 10 条链接。示例compose模板如下:
生成的配置为:
测试,采用 ab 打开 10 个链接。
再用 telnet 打开第 11 个链接,服务器拒绝该请求。
![(1)如何快速的在指定文件夹打开命令行?(1)如何快速的在指定文件夹打开命令行?[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)