在Linux中,我們可以根據不同的需求來調整/proc/sys/net/ipv4/目錄下的內核網絡參數,通過合理的配置這裡內核網絡參數,從而達到提高網絡的安全性和系統的穩定性的目的。因為這方面的文獻比較少,所以我們不可能進行全面的介紹。現在已經有linux組織正在從事這方面的文檔的寫作,相信在不久的將來,我們就會看到比較完整的文檔。下面我們就來看一看一些比較常用的內核網絡參數。
注意:
1.參數值帶有速度(rate)的參數不能在loopback接口上工作。
2.因為內核是以HZ為單位的內部時鐘來定義速度的,通常速度為100HZ,所以設定一個參數值為100就表示允許1個包/秒,假如為20則允許5個包/秒。
3.所有內核網絡參數配置文件位於/proc/sys/net/ipv4/目錄下。
一、icmp相關內核配置參數
概述:通常我們使用icmp包來探測目的主機上的其它協議(如tcp和udp)是否可用。比如包含“destination unreachable”信息的icmp包就是最常見的icmp包。
1.icmp_destunreach_rate:設置內容為“Destination Unreachable”icmp包的響應速率。設置值應為整數。
應用實例:
假設有A、B兩部主機,首先我們在主機A上執行以下ipchains語句:
ipchains -A input -p icmp -j REJECT
這裡的REJECT和DENY不同,DENY會丟掉符合條件的包如同沒有接收到該包一樣,而REJECT會在丟掉該包的同時給請求主機發回一個“Destination Unreachable”的icmp。
然後在主機B上ping主機A,這時候我們會發現“Destination Unreachable”icmp包的響應速度是很及時的。接著我們在主機A上執行:
echo "1000" > /proc/sys/net/ipv4/icmp_destunreach_rate 也即每10秒鐘響應一個“Destination Unreachable”的icmp包。
這時候再從主機B上ping主機A就會發現“Destination Unreachable”icmp包的響應速度已經明顯變慢,我很好奇的測試了一下,發現剛好是每10秒響應一次。
2.icmp_echo_ignore_broadcasts:設置是否響應icmp echo請求廣播,設置值應為布爾值,0表示響應icmp echo請求廣播,1表示忽略。
注意:windows系統是不響應icmp echo請求廣播的。
應用實例:
在我的RedHat6.x和RedHat7上該值缺省為0,這樣當有個用ping我的服務器所在的網段的網絡地址時,所有的linux服務器就會響應,從而也能讓讓該用戶得到我的服務器的ip地址,可以執行
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
來關閉該功能。從而防止icmp風暴,防止網絡阻塞。
3.icmp_echoreply_rate:設置系統響應icmp echo請求的icmp包的響應速度,設置值為整數。
應用實例:
假設有A、B兩部主機,首先我們在主機B上ping主機A,可以看到響應很正常,然後在主機A上執行echo "1000" > /proc/sys/net/ipv4/icmp_echoreply_rate。 也即每10秒鐘響應一個icmp echo請求包。然後再ping主機A就可以看到響應速度已經變成10秒一次。最好合理的調整該參數的值來防止icmp風暴。
4.icmp_echo_ignore_all:設置系統是否忽略所有的icmp echo請求,如果設置了一個非0值,系統將忽略所有的icmp echo請求。其實這是icmp_echoreply_rate的一種極端情況。參數值為布爾值,1表示忽略,0表示響應。
5. icmp_paramprob_rate:當系統接收到數據報的損壞的ip或tcp頭時,就會向源發出一個包含有該錯誤信息的icmp包。這個參數就是用來設置向源發送這種icmp包的速度。當然,在通常情況下ip或tcp頭出錯是很少見的。參數值為整數。
6.icmp_timeexceed_rate:數據報在網絡上傳輸時,其生存時間(time to live)字段會不斷減少,當生存時間為0時,正在處理該數據報的路由器就會丟棄該數據報,同時給源主機發送一個“time to live exceeded”的icmp包。該參數就是用來設置這種icmp包的發送的速度。當然,這通常用於充當路由器的linux主機。
二、ip相關內核配置參數
linux內核網絡參數中關於ip的配置參數通常是用來定義或調整ip包的一些特定的參數,除此之外還定義了系統的一些網絡特性。
1.ip_default_ttl:設置從本機發出的ip包的生存時間,參數值為整數,范圍為0~128,缺省值為64。在windows系統中,ip包的生存時間通常為128。如果你的系統經常得到“Time to live exceeded”的icmp回應,可以適當增大該參數的值,但是也不能過大,因為如果你的路由的環路的話,就會增加系統報錯的時間。
2.ip_dynaddr:該參數通常用於使用撥號連接的情況,可以使系統動能夠立即改變ip包的源地址為該ip地址,同時中斷原有的tcp對話而用新地址重新發出一個syn請求包,開始新的tcp對話。在使用ip欺騙時,該參數可以立即改變偽裝地址為新的ip地址。該參數的參數值可以是:
1:啟用該功能
2:使用冗余模式啟用該功能
0:禁止該功能
應用實例:
在使用ipchains配置ip欺騙帶動局域網共享一個ppp連接上網時,有時會出現剛開時連接一個站點連不通,再次刷新又可以連接的情況,這時候就可以設置該參數的值為1,從而立即改變偽裝地址為新的ip地址,就可以解決這類問題。命令為:
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
3.ip_forward:可以通過該參數來啟用包轉發功能,從而使系統充當路由器。參數值為1時啟用ip轉發,為0時禁止ip轉發。注意,我們可以在單網卡或雙網卡的主機上實現ip轉發。
應用實例:
假設我們使用一部裝有雙網卡的linux主機充當防火牆,這時候我們就必須執行以下命令來打開ip轉發功能:
echo "1" > /proc/sys/net/ipv4/ip_forward
4. ip_local_port_range:設置當本地系統向外發起tcp或udp連接請求時使用的端口范圍。設置值為兩個整數,缺省為“1024 4999”。
應用實例:
echo "1450 6000" > /proc/sys/net/ipv4/ip_local_port_range
三、tcp相關內核配置參數
通過tcp配置參數可以控制tcp會話過程中的各個方面。
a) tcp_fin_timeout:在一個tcp會話過程中,在會話結束時,A首先向B發送一個fin包,在獲得B的ack確認包後,A就進入FIN WAIT2狀態等待B的fin包然後給B發ack確認包。這個參數就是用來設置A進入FIN WAIT2狀態等待對方fin包的超時時間。如果時間到了仍未收到對方的fin包就主動釋放該會話。參數值為整數,單位為秒,缺省為180秒。
b) tcp_syn_retires:設置開始建立一個tcp會話時,重試發送syn連接請求包的次數。
參數值為小於255的整數,缺省值為10。假如你的連接速度很快,可以考慮降低該值來提高系統響應時間,即便對連接速度很慢的用戶,缺省值的設定也足夠大了。
c) tcp_window_scaling:設置tcp/ip會話的滑動窗口大小是否可變。參數值為布爾值,為1時表示可變,為0時表示不可變。Tcp/ip通常使用的窗口最大可達到65535 字節,對於高速網絡,該值可能太小,這時候如果啟用了該功能,可以使tcp/ip滑動窗口大小增大數個數量級,從而提高數據傳輸的能力。
四、有關防止ip欺騙攻擊的內核網絡參數
假設有如下的情景:
在缺省狀態下,路由器根據包的目的地址進行轉發,所以路由器缺省是對來自任何地方的包進行轉發的。如上圖所示,假如路由器的2.2.2.2接口(也即廣域網接口)接收到一個包,該包的源地址為1.1.1.100(也即為Intranet地址),雖然這是不可能或者說是不合理的,但是由於路由器的特性,路由器還是會將這個不合法的包轉發到Intranet。從而讓黑客有了可乘之機,為其進行ip欺騙攻擊打開了方便之門。
幸好,我們可以通過Linux的內核系統參數“反向路徑過濾”來防止這種情況,該參數位於/proc/sys/net/ipv4/conf/下的各個子目錄中的rp_filter文件。參數值為整數,可能的值有:
2 - 進行全面的反向路徑過濾,推薦在邊緣路由器上使用。但是要注意,在復雜的網絡環境中,如果使用了靜態路由或rip、ospf路由協議時,不推薦使用該值。
1 - 是該參數的缺省值,它只對直接連接的網絡進行反向路徑過濾。
0 - 不進行反向路徑過濾。
應用實例:
建立如下的腳本,文件名為rp.sh
#/bin/bash for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 2 > $i done
然後更改文件權限chmod 755 rp.sh
最後執行 ./rp.sh
五、針對每一網絡接口的內核網絡參數
通過針對每一網絡接口的內核網絡參數,你可以為諸如eth0、eth1等具體的網絡接口指
定響應的內核網絡參數。
注意:/proc/sys/net/ipv4/conf/all/下的參數將應用於所有的網絡接口。
1.accept_redirects:該參數位於/proc/sys/net/ipv4/conf/DEV/accept_redirects(DEV表示具體的網絡接口),如果你的主機所在的網段中有兩個路由器,你將其中一個設置成了缺省網關,但是該網關在收到你的ip包時發現該ip包必須經過另外一個路由器,這時這個路由器就會給你發一個所謂的“重定向”icmp包,告訴將ip包轉發到另外一個路由器。參數值為布爾值,1表示接收這類重定向icmp 信息,0表示忽略。在充當路由器的linux主機上缺省值為0,在一般的linux主機上缺省值為1。建議將其改為0,或者使用“安全重定向”(見下文)以消除安全性隱患。
2.log_martians:將包含非法地址信息的ip包記錄到內核日志。參數值為布爾值。
應用實例:
上面我們講過rp_filter反向路徑過濾參數,同時我們可以執行下面的語句
echo “1” > /proc/sys/net/ipv4/conf/all/log_martians
然後就可以將進行ip假冒的ip包記錄到/var/log/messages。
3. forwarding:啟用特定網絡接口的ip轉發功能。參數值為布爾值,1表示進行記錄。
應用實例:
echo "1" > /proc/sys/net/ipv4/conf/eth0/forwarding
4.accept_source_route:是否接受含有源路由信息的ip包。參數值為布爾值,1表示接受,0表示不接受。在充當網關的linux主機上缺省值為1,在一般的linux主機上缺省值為0。從安全性角度出發,建議你關閉該功能。
5.secure_redirects:前面我們已經提到過“安全重定向”的概念,其實所謂的“安全重定向”就是只接受來自網關的“重定向”icmp包。該參數就是用來設置“安全重定向”功能的。參數值為布爾值,1表示啟用,0表示禁止,缺省值為啟用。
6.proxy_arp:設置是否對網絡上的arp包進行中繼。參數值為布爾值,1表示中繼,0表示忽略,缺省值為0。該參數通常只對充當路由器的linux主機有用。
