一次DOS事件的解决办法
http://happyman-bruce.blogbus.com/logs/3877017.html

1. 带宽占满的情况下，任何防护都是没用的。
2. 任何ip数据都是可以伪造的，如果攻击数据完全采用随机数发送的话，那么很可能无迹可寻。
3. 在进行过滤和dos防御的时候，不可避免的会损失一些正常的连接，这个时候，想想80/20规则，
不要力求完美。
4. 任何安全防护措施和内核参数的调整，都可能对系统和网络的稳定性造成一定的负面影响，
所以要根据实际情况而定，切勿忙从。
5. 这个防火墙规则中主要生效的是TCP段和ICMP段，在带宽未被占满时可以一定程度防止syn-flood
、icmp-flood、tcp-connect-flood类型的DOS。
但是syn-flood的u32规则是针对这次攻击的特征所写的，在应对其他攻击时不可能完全有效，必须
单独重新分析。
tcp-connect连接限制，我目前定的是同一ip地址并发5个web连接，防止连接耗尽，在局域网NAT
访问时可能会有些问题，可以根据网络拓扑情况添加信任规则。
6. 常见的网络层dos主要有:
syn-flood (协议缺陷型)
ack-flood(stream) (协议缺陷型)
icmp-flood(smarf) (流量型)
udp-flood(froogle) (流量型)
tcp-connect-flood (资源型)
对于icmp和udp，可以在规则链开始就直接丢弃掉；
对于tcp-flood，可以使用conn-limit限制，效果比较好，但是要注意调整内核参数ip_conntrack
的数值，否则可能造成iptables状态跟踪表溢出，反而形成拒绝服务；另外，当syn+ack类型的攻击
发生时，本省也会消耗大量的conntrack资源，所以防火墙规则的顺序很重要。
对于syn-flood，最好的方法还是使用bsd pf的syn-proxy，效果不错，不过这个下次再讲吧。
如果不行的话，可能就只能针对个案进行模式特征分析了。

http://happyman-bruce.blogbus.com/logs/7035900.html

linux下解决大量的TIME_WAIT
root@web02 ~]# vi /etc/sysctl.conf
新增如下内容：
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies=1
使内核参数生效：
[root@web02 ~]# sysctl -p
readme:
net.ipv4.tcp_syncookies=1 打开TIME-WAIT套接字重用功能，对于存在大量连接的Web服务器非常有效。
net.ipv4.tcp_tw_recyle=1
net.ipv4.tcp_tw_reuse=1 减少处于FIN-WAIT-2连接状态的时间，使系统可以处理更多的连接。
net.ipv4.tcp_fin_timeout=30 减少TCP KeepAlive连接侦测的时间，使系统可以处理更多的连接。
net.ipv4.tcp_keepalive_time=1800 增加TCP SYN队列长度，使系统可以处理更多的并发连接。
net.ipv4.tcp_max_syn_backlog=8192

貌似这个ID很像我以前的一个同事。