我正在运行 Debian 6 - 64 位系统(内核 2.6.32-5-amd64),经常遭受 DDOS 攻击。我已调整了以下网络参数:/etc/sysctl.conf不让任何内核参数溢出。虽然大部分参数都没问题,但我开始在 ** /var/log/messages** 中观察到“nf_conntrack:表已满”消息,因此为了克服这个问题,我添加了一些进一步的优化并增加了参数。以下是来自“sysctl -a“,
net.netfilter.nf_conntrack_max = 256000
net.netfilter.nf_conntrack_count = 124
net.netfilter.nf_conntrack_buckets = 256000
net.netfilter.nf_conntrack_generic_timeout = 120
kernel.printk_ratelimit = 30
kernel.printk_ratelimit_burst = 200
这暂时解决了“nf_conntrack:表已满”消息,但现在我不断收到以下消息,并且我的系统经常对其网络无响应。我看到一些“nf_conntrack:表已满“再次收到邮件以及垃圾邮件”dst 缓存溢出“,
http://paste.ubuntu.com/10748348/
我受到的攻击不够高,但攻击者连续数小时用大约 30k PPS 攻击我,导致了这种情况。
这些输出可能也很有用,
grep . /proc/sys/net/ipv4/route/*
/proc/sys/net/ipv4/route/error_burst:1250
/proc/sys/net/ipv4/route/error_cost:250
/proc/sys/net/ipv4/route/gc_thresh:131072