设置内核参数net.ipv4.tcp_syncookies = 1，打开syncookie支持，防止SYN Flood

hbghlyj

net.ipv4.tcp_syncookies = 1 是一个内核参数，用于启用 TCP SYN Cookies 功能。这一功能可以帮助防止 SYN Flood 攻击。这是因为 SYN Cookies 在处理传入的 SYN 请求时，不会立即分配资源来处理连接，而是通过生成一个特殊的序列号来验证连接请求是否有效，从而避免了资源耗尽的问题。以下是一个简要的解释：

• SYN Flood 攻击：攻击者向目标服务器发送大量的 SYN 请求包，但不回应服务器发送的 SYN-ACK 包。这会导致服务器资源耗尽，因为服务器会为每个未完成的连接分配资源。
• 启用 SYN Cookies：当 net.ipv4.tcp_syncookies 设置为 1 时，内核启用 SYN Cookies 功能。当服务器接收到 SYN 请求时，它不会立即为连接分配资源，而是生成一个特殊的序列号（SYN Cookie），并将其包含在 SYN-ACK 包中发送给客户端。
• 验证连接请求：如果客户端回应了这个 SYN-ACK 包（发送 ACK 包），服务器会根据收到的 ACK 包中的序列号验证连接请求的有效性。如果验证通过，服务器才会为这个连接分配资源。

通过这种方式，服务器能够在不消耗大量资源的情况下处理大量的 SYN 请求，从而防止普通级别的 SYN Flood 攻击。

hbghlyj

设置内核参数 net.ipv4.conf.all.log_martians = 1 可以开启记录“火星”包（即异常的网络包）的功能，这包括ARP地址变更记录。这一功能有助于发现ARP欺骗（ARP Spoofing）攻击。以下是具体原因：

• ARP欺骗攻击：ARP欺骗攻击是指攻击者通过发送伪造的ARP消息来欺骗网络设备，使其将错误的MAC地址与IP地址关联起来，从而拦截或篡改通信数据。
• “火星”包记录：当 net.ipv4.conf.all.log_martians 设置为1时，内核会记录所有异常的网络包。这些异常包可能包括不符合正常路由规则的包，或者源地址和目标地址不合理的包。
• ARP地址变更记录：启用这个参数后，内核会记录任何ARP地址的异常变更。例如，当某个IP地址对应的MAC地址发生变化时，系统会认为这是一个潜在的攻击行为，并记录下来。

通过记录这些异常的ARP地址变更，管理员可以发现网络中是否存在ARP欺骗攻击。这些日志记录可以帮助管理员及时检测和响应ARP欺骗攻击，保护网络安全。下面是一个示例日志条目，显示了ARP地址变更的记录：

1. kernel: martian source 192.168.1.1 from 192.168.1.100, on dev eth0
2. kernel: ll header: ff:ff:ff:ff:ff:ff:00:0c:29:68:22:49:08:00

Copy the Code

这个日志条目表明，来自IP地址 192.168.1.100 的设备试图将 192.168.1.1 的MAC地址更改为一个新的MAC地址，这可能是一个ARP欺骗攻击的迹象。