IPv4的核心管理功能/proc/sys/net/ipv4/*

I

• /proc/sys/net/ipv4/tcp_syncookies

SYN Cookies模块可以在系统随机端口(1024:65535)即将用完时自动启动，用来应对Dos攻击。当启动SYN Cookie时，主机在发送SYN/ACK确认包前，会要求Client端在短时间内回复一个序列号，这个序列号包含许多原本SYN封包内的信息，包括IP、port等。Client端回复正确的话，主机确定该包可信，否则不予理会。

#echo "1">/proc/sys/net/ipv4/tcp_syncookies

• /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

取消对广播icmp包的回应

#echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

• /proc/sys/net/ipv4/conf/网络接口/*

例如eth0接口的相关设定数据在/proc/sys/net/ipv4/conf/eth0/内

     rp_filter：成为逆向路径过滤，可以由此分析网络接口的路由信息配合封包的来源地址，来分析该封包是否为合理。举例来说，假设两块网卡eth0192.168.1.0/24，eth1为public IP。那这个封包就不合理，应予以丢弃。这个设定值建议可以启动。

     log_martians:这个设定数据可以来启动记录不合法IP来源，例如来源0.0.0.0、127.0.0.1、及IP来源。记录的数据默认放置到核心放置的登录档/var/log/message

     accept_source_route：某些路由器启动这个设定值，可以取消这个设定值。

     accept_redirects：当你在同一个实体网络内假设一部路由器，但这个实体网络有两个IP网络，例如192.168.0.0/24 192.168.1.0/24 这时192.168.0.100想要向192.168.1.100传送信息时，路由器可能会传送一个ICMP redirect封包告知192.168.0.100直接传送数据给192.168.1.100即可，而不需要透过路由器。建议关闭。

     send_redirects:与上一个类似，只是此值为发送一个ICMP redirect封包。建议关闭。