增強Sendmail的抗DoS攻擊能力

火星人 @ 2014-03-12 , reply:0
←手機掃碼閱讀

  還記得一個月以前的Yahoo,eBay......受到的拒絕服務(Denial Of Service)攻擊嗎?

  當然,他們遭受的只是Web服務的DOS攻擊。其實從最根本上來講,各種拒絕服務攻擊都是攻擊目標的TCP/IP協議堆棧,並不是什麼很特殊的運用方式,其目的都是讓伺服器癱瘓,無法工作。

  之所以這類攻擊能容易得逞,是因為當初建立IP協議標準的時候,主要目的是為了提供最有效的服務,卻沒有考慮到對於包的來源的有力的驗證機制。這點缺陷導致了DOS攻擊致命的惡果。

  如果你的mail伺服器遭到這種攻擊,你會怎麼辦?

  在Sendmail8.10.0發布以前,這是一件很惱火的事情。現在就不一樣了,有了Sendmail8.10.0,只需要按照下文簡單配置幾個參數,你的mail伺服器的抗拒絕服務攻擊能力就大大提高了。推薦值適用於中小型的Mail伺服器。

  1.配置最少的自由塊數
  配置參數:MinFreeBlocks
  參數描述:文件系統用來接受標準SMTP(簡單郵件傳輸協議)郵件的隊列中的最少的自由塊數目。
  越小越容易被攻擊致命。
  默認值:100
  推薦值:4000或者更大

  2.最大郵件大小
  配置參數:MaxMessageSize
  參數描述:每封郵件的最大尺寸,以比特(bytes)為單位。越大越容易被攻擊致命。
  默認值:不限制
  推薦值:5M

  3.自動重建別名
  配置參數:AutoRebuildAliases
  參數描述:需要的時候自動重建所有別名。如果設定為True的話,這是一個潛在的能引起拒絕服務攻擊的危機。
  默認值:False
  推薦值:False

  4.隊列平均負荷
  配置參數:QueueLA
  參數描述:單一隊列時的平均負荷。根據CPU的數量適當設定(8*CPU數量)
  默認值:可變的
  推薦值:10*CPU數量

  5.平均負荷拒絕臨界點
  配置參數:RefuseLA
  參數描述:一旦平均負荷超過此臨界點,所有Incoming的SMTP連接均拒絕。
  默認值:可變的
  推薦值:8*CPU數量

  6.最大的守護進程的子進程數
  配置參數:MaxDaemonChildren
  參數描述:容許Fork的最大的子進程數。超過此數目,連接就會被拒絕。如果設定值小於等於零,就意味著不限制。
  默認值:沒有定義
  推薦值:根據內存大小設定。(例如,128M內存建議值為40)

  7.最大的報頭長度
  配置參數:MaxHeadersLength
  參數描述:所有報頭的最大總長
  默認值:沒有設定
  推薦值:32或者64K

  8.最大MIME編碼報文長度
  MIME,Multipurpose Internet Mail Extension protocol,多用途的網際郵件擴充協議
  配置參數:MaxMimeHeaderLength
  參數描述:經過MIME編碼的最大報文長度
  默認值:沒有定義
  推薦值:1024或者更小

  9.每封郵件的最多接收者
  配置參數:MaxRecipientsPerMessage
  參數描述:如果設定了的話,每封郵件只能同時抄送給指定數量的收信人。超過此數目就會返回一個452的錯誤代碼。也就是說,在郵件隊列中,會被無限期的延緩發送。





[火星人 via ] 增強Sendmail的抗DoS攻擊能力已經有292次圍觀

http://www.coctec.com/docs/security/show-post-73078.html