调整内核网络参数提高Linux系统安全 （3）

三、 tcp相关内核配置参数

通过tcp配置参数可以控制tcp会话过程中的各个方面。

a) tcp_fin_timeout：在一个tcp会话过程中，在会话结束时，A首先向B发送一个fin包，在获得B的ack确认包后，A就进入FIN WAIT2状态等待B的fin包然后给B发ack确认包。这个参数就是用来设置A进入FIN WAIT2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。参数值为整数，单位为秒，缺省为180秒。

b) tcp_syn_retires：设置开始建立一个tcp会话时，重试发送syn连接请求包的次数。参数值为小于255的整数，缺省值为10。假如你的连接速度很快，可以考虑降低该值来提高系统响应时间，即便对连接速度很慢的用户，缺省值的设定也足够大了。

3．tcp_window_scaling：设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值，为1时表示可变，为0时表示不可变。Tcp/ip通常使用的窗口最大可达到65535 字节，对于高速网络，该值可能太小，这时候如果启用了该功能，可以使tcp/ip滑动窗口大小增大数个数量级，从而提高数据传输的能力。

四、 有关防止ip欺骗攻击的内核网络参数

假设有如下的情景：

　
　　1.1.1.1 2.2.2.2

在缺省状态下，路由器根据包的目的地址进行转发，所以路由器缺省是对来自任何地方的包进行转发的。如上图所示，假如路由器的2.2.2.2接口（也即广域网接口）接收到一个包，该包的源地址为1.1.1.100（也即为Intranet地址），虽然这是不可能或者说是不合理的，但是由于路由器的特性，路由器还是会将这个不合法的包转发到Intranet。从而让黑客有了可乘之机，为其进行ip欺骗攻击打开了方便之门。

幸好，我们可以通过Linux的内核系统参数“反向路径过滤”来防止这种情况，该参数位于/proc/sys/net/ipv4/conf/下的各个子目录中的rp_filter文件。参数值为整数，可能的值有：

2 － 进行全面的反向路径过滤，推荐在边缘路由器上使用。但是要注意，在复杂的网络环境中，如果使用了静态路由或rip、ospf路由协议时，不推荐使用该值。

1 － 是该参数的缺省值，它只对直接连接的网络进行反向路径过滤。

0 － 不进行反向路径过滤。

应用实例：

建立如下的脚本，文件名为rp.sh:

　　#/bin/bash 
　　for i in /proc/sys/net/ipv4/conf/*/rp_filter ; 
　　do 
　　echo 2 > $i 
　　done

然后更改文件权限chmod 755 rp.sh。

最后执行 ./rp.sh。