在Linux中，我們可以根據(jù)不同的需求來調(diào)整/proc/sys/net/ipv4/目錄下的內(nèi)核網(wǎng)絡(luò)參數(shù)，通過合理的配置這里內(nèi)核網(wǎng)絡(luò)參數(shù)，從而達(dá)到提高網(wǎng)絡(luò)的安全性和系統(tǒng)的穩(wěn)定性的目的。因?yàn)檫@方面的文獻(xiàn)比較少，所以我們不可能進(jìn)行全面的介紹。現(xiàn)在已經(jīng)有l(wèi)inux組織正在從事這方面的文檔的寫作，相信在不久的將來，我們就會(huì)看到比較完整的文檔。下面我們就來看一看一些比較常用的內(nèi)核網(wǎng)絡(luò)參數(shù)。

注意：

1. 參數(shù)值帶有速度（rate）的參數(shù)不能在loopback接口上工作。

2. 因?yàn)閮?nèi)核是以HZ為單位的內(nèi)部時(shí)鐘來定義速度的，通常速度為100HZ，所以設(shè)定一個(gè)參數(shù)值為100就表示允許1個(gè)包/秒，假如為20則允許5個(gè)包/秒。

3. 所有內(nèi)核網(wǎng)絡(luò)參數(shù)配置文件位于/proc/sys/net/ipv4/目錄下。

一、icmp相關(guān)內(nèi)核配置參數(shù)

概述：通常我們使用icmp包來探測(cè)目的主機(jī)上的其它協(xié)議（如tcp和udp）是否可用。比如包含“destination unreachable”信息的icmp包就是最常見的icmp包。

◆1. icmp_destunreach_rate：設(shè)置內(nèi)容為“Destination Unreachable”icmp包的響應(yīng)速率。設(shè)置值應(yīng)為整數(shù)。

應(yīng)用實(shí)例：

假設(shè)有A、B兩部主機(jī)，首先我們?cè)谥鳈C(jī)A上執(zhí)行以下ipchains語句：

ipchains －A input -p icmp -j REJECT

這里的REJECT和DENY不同，DENY會(huì)丟掉符合條件的包如同沒有接收到該包一樣，而REJECT會(huì)在丟掉該包的同時(shí)給請(qǐng)求主機(jī)發(fā)回一個(gè)“Destination Unreachable”的icmp。

然后在主機(jī)B上ping主機(jī)A，這時(shí)候我們會(huì)發(fā)現(xiàn)“Destination Unreachable”icmp包的響應(yīng)速度是很及時(shí)的。接著我們?cè)谥鳈C(jī)A上執(zhí)行：

echo "1000" > /proc/sys/net/ipv4/icmp_destunreach_rate

也即每10秒鐘響應(yīng)一個(gè)“Destination Unreachable”的icmp包。

這時(shí)候再從主機(jī)B上ping主機(jī)A就會(huì)發(fā)現(xiàn)“Destination Unreachable”icmp包的響應(yīng)速度已經(jīng)明顯變慢，我很好奇的測(cè)試了一下，發(fā)現(xiàn)剛好是每10秒響應(yīng)一次。

◆2. icmp_echo_ignore_broadcasts：設(shè)置是否響應(yīng)icmp echo請(qǐng)求廣播，設(shè)置值應(yīng)為布爾值，0表示響應(yīng)icmp echo請(qǐng)求廣播，1表示忽略。

注意：windows系統(tǒng)是不響應(yīng)icmp echo請(qǐng)求廣播的。

應(yīng)用實(shí)例：

在我的RedHat6.x和RedHat7上該值缺省為0，這樣當(dāng)有個(gè)用ping我的服務(wù)器所在的網(wǎng)段的網(wǎng)絡(luò)地址時(shí)，所有的linux服務(wù)器就會(huì)響應(yīng)，從而也能讓讓該用戶得到我的服務(wù)器的ip地址，可以執(zhí)行

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

來關(guān)閉該功能。從而防止icmp風(fēng)暴，防止網(wǎng)絡(luò)阻塞。

◆3. icmp_echoreply_rate:設(shè)置系統(tǒng)響應(yīng)icmp echo請(qǐng)求的icmp包的響應(yīng)速度，設(shè)置值為整數(shù)。

應(yīng)用實(shí)例：

假設(shè)有A、B兩部主機(jī)，首先我們?cè)谥鳈C(jī)B上ping主機(jī)A，可以看到響應(yīng)很正常，然后在主機(jī)A上執(zhí)行echo "1000" > /proc/sys/net/ipv4/icmp_echoreply_rate。 也即每10秒鐘響應(yīng)一個(gè)icmp echo請(qǐng)求包。然后再ping主機(jī)A就可以看到響應(yīng)速度已經(jīng)變成10秒一次。最好合理的調(diào)整該參數(shù)的值來防止icmp風(fēng)暴。

◆4. icmp_echo_ignore_all:設(shè)置系統(tǒng)是否忽略所有的icmp echo請(qǐng)求，如果設(shè)置了一個(gè)非0值，系統(tǒng)將忽略所有的icmp echo請(qǐng)求。其實(shí)這是icmp_echoreply_rate的一種極端情況。參數(shù)值為布爾值，1表示忽略，0表示響應(yīng)。

◆5.  icmp_paramprob_rate：當(dāng)系統(tǒng)接收到數(shù)據(jù)報(bào)的損壞的ip或tcp頭時(shí)，就會(huì)向源發(fā)出一個(gè)包含有該錯(cuò)誤信息的icmp包。這個(gè)參數(shù)就是用來設(shè)置向源發(fā)送這種icmp包的速度。當(dāng)然，在通常情況下ip或tcp頭出錯(cuò)是很少見的。參數(shù)值為整數(shù)。

◆6．icmp_timeexceed_rate：數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)，其生存時(shí)間（time to live）字段會(huì)不斷減少，當(dāng)生存時(shí)間為0時(shí)，正在處理該數(shù)據(jù)報(bào)的路由器就會(huì)丟棄該數(shù)據(jù)報(bào)，同時(shí)給源主機(jī)發(fā)送一個(gè)“time to live exceeded”的icmp包。該參數(shù)就是用來設(shè)置這種icmp包的發(fā)送的速度。當(dāng)然，這通常用于充當(dāng)路由器的linux主機(jī)。

二、ip相關(guān)內(nèi)核配置參數(shù)

linux內(nèi)核網(wǎng)絡(luò)參數(shù)中關(guān)于ip的配置參數(shù)通常是用來定義或調(diào)整ip包的一些特定的參數(shù)，除此之外還定義了系統(tǒng)的一些網(wǎng)絡(luò)特性。

1．ip_default_ttl：設(shè)置從本機(jī)發(fā)出的ip包的生存時(shí)間，參數(shù)值為整數(shù)，范圍為0～128,缺省值為64。在windows系統(tǒng)中，ip 包的生存時(shí)間通常為128。如果你的系統(tǒng)經(jīng)常得到“Time to live exceeded”的icmp回應(yīng)，可以適當(dāng)增大該參數(shù)的值，但是也不能過大，因?yàn)槿绻�你的路由的環(huán)路的話，就會(huì)增加系統(tǒng)報(bào)錯(cuò)的時(shí)間。

2．ip_dynaddr：該參數(shù)通常用于使用撥號(hào)連接的情況，可以使系統(tǒng)動(dòng)能夠立即改變ip包的源地址為該ip地址，同時(shí)中斷原有的tcp對(duì)話而用新地址重新發(fā)出一個(gè)syn請(qǐng)求包，開始新的tcp對(duì)話。在使用ip欺騙時(shí)，該參數(shù)可以立即改變偽裝地址為新的ip地址。該參數(shù)的參數(shù)值可以是：

1：?jiǎn)⒂迷摴δ?/STRONG>