UNIX IP Stack 调整指南

《UNIX IP Stack 调整指南》 在网络安全日益重要的今天，调整UNIX IP堆栈以增强防护能力变得至关重要。本文主要关注如何优化不同UNIX变种的网络服务，以抵御诸如HTTP或路由攻击，并提供了一些具体的操作步骤和配置建议。本文涉及的系统包括IBM AIX 4.3.X、Sun Solaris 7、Compaq Tru64 UNIX 5.X、HP HP-UX 11.0、Linux kernel 2.2、FreeBSD以及IRIX 6.5.10。 对于调整后的参数，需要注意的是，它们不会在系统重启后自动生效。因此，若想让这些参数持久化，需要将其添加到相应的启动文件中。例如，AIX的启动文件为/etc/rc.net，Solaris为/etc/init.d/inetinit，Tru64 UNIX使用sysconfigdb或dxkerneltuner命令，HP-UX为/etc/rc.config.d/nddconf，Linux kernel 2.2为/etc/sysctl.conf，FreeBSD为/etc/rc.conf，而IRIX则使用systune命令。 下面是两个关键的IP堆栈调整建议： 1. 调整TCP发送和接收空间： TCP发送和接收空间直接影响TCP窗口大小，增大窗口大小能提高传输效率，特别是对于FTP和HTTP等大量数据传输的服务。通常建议将此值设置为32768字节。然而，除非你对RFC1323（TCP窗口缩放）和RFC2018（选择性确认SACK）有深入理解，否则不建议将此值设得过高，以免引起问题。以下是各系统设置方法： - AIX：`/usr/sbin/no -o tcp_sendspace=32768` 和 `/usr/sbin/no -o tcp_recvspace=32768` - Solaris：`/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768` 和 `/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768` - Tru64 UNIX：无推荐的调整方法。 - HP-UX：默认值已设为32768。 - Linux kernel 2.2：自动分配且支持RFC1323和RFC2018。 - FreeBSD：`sysctl -w net.inet.tcp.sendspace=32768` 和 `sysctl -w net.inet.tcp.recvspace=32768` - IRIX：默认值为64K字节。 2. 防止SYN攻击： SYN Flood攻击是一种常见的DoS攻击，攻击者伪造源IP向目标端口发送大量的SYN包，导致TCP套接字缓存队列满，阻止新连接。为了缓解这种攻击，一些UNIX系统会将入站连接请求分为两类队列：一类处理半开连接（SYN接收），另一类处理全开连接（等待accept()调用）。通过增加这些队列的容量，可以有效降低SYN Flood的影响： - AIX：`/usr/sbin/no -o clean_partial_conns=1` 设置会随机从队列中移除半开连接，为新的连接腾出空间。 以上调整策略是提高UNIX系统网络性能和安全性的基础措施，但实际操作时应根据具体环境和需求进行适当调整。此外，还有其他如TCP重传超时、最大并发连接数等参数的调整，都需要结合系统负载和网络状况进行综合考虑。定期监控网络性能，及时调整参数，可以确保系统运行在最佳状态，并有效抵御网络攻击。