Limiting closed port RST response from 215 to 200 packets per
second (/var/log/messages)
Ядро защищается от атаки DoS. Шлют большое количество пакетов на
закрытые порты.
net.inet.tcp.blackhole=2 net.inet.tcp.blackhole определяет, что должно происходить,
когда система получает TCP пакет на закрытый порт.
Когда эта переменная установлена в 1, SYN пакеты на закрытый порт
будут отклоняться без отсылки отправителю RST пакета.
Когда она установлена в 2, все пакеты на закрытый порт отбрасываются
без отсылки RST. Это бережет время ЦПУ, потому что пакеты практически
не требуют обработки, а также освобождает исходящий канал,
потому ответные пакеты не отсылаются.
net.inet.udp.blackhole=1 net.inet.udp.blackhole схоже с net.inet.tcp.blackhole
по своей функциональности. Так как протокол UDP не устанавливает
соединение, как TCP, то при сбросе UDP пакетов есть только одна опция.
Когда эта переменная установлена в 1, система отбрасывает все UDP
пакеты, которые адресованы закрытым портам.
Чтобы изменения в файле sysctl.conf вступили в силу,
выполните следующую команду:
sysctl -p /etc/sysctl.conf
sysctl -a | grep net.inet.tcp.blackhole
sysctl -a | grep net.inet.udp.blackhole