Тюнинг TCP/IP стека в Solaris

Solaris 10

Вот небольшие рекомендации по тюнигу и защите от небольшого DDoS’a

– Изменяем стандартное значение maximux segmet size.

ndd -set /dev/tcp tcp_mss_def 546

– Отключим «path MTU discovery» и система перестанет ставить бит «don’t fragment»

ndd -set /dev/ip ip_path_mtu_discovery 0

# Устанавливаем закон генерации ISN действительно случайным образом.

ndd -set /dev/tcp tcp_strong_iss 2

– Изменяем стандартное значение tcp window size

ndd -set /dev/tcp tcp_conn_req_max_q 16384
ndd -set /dev/tcp tcp_conn_req_max_q0 16384
ndd -set /dev/tcp tcp_max_buf 4194304
ndd -set /dev/tcp tcp_cwnd_max 2097152
ndd -set /dev/tcp tcp_xmit_hiwat 64395
ndd -set /dev/tcp tcp_recv_hiwat 64395

– Изменяем стандартное время жизни пакета (TTL)

ndd -set /dev/tcp tcp_ip_ttl 128

Посмотреть список всех доступных параметров можно так:

# ndd /dev/tcp ?

Solaris 11

Большинство параметров для тюнинга сетевого стека доступно через ipadm set-prop (раньше, для этого использовался ndd). Рассмотрим ниже некоторые из них. Полный спектр параметров, которые можно тюнить, можно найти здесь

– посмотреть все параметры

$ ipadm show-prop

– посмотреть определенные параметры:

$ ipadm show-prop -p send_buf tcp

– указать размер буфера (tcp)

# ipadm set-prop -p send_buf=128000 tcp
# ipadm set-prop -p recv_buf=128000 tcp
# ipadm set-prop -p max_buf=8388608 tcp

– размер TCP окна (в байтах)

# ipadm set-prop -p _cwnd_max=4194304 tcp

– параметры при установке tcp-соединения

# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm set-prop -p _conn_req_max_q0=2048 tcp

– keepalive (в милисекундах)

# ipadm set-prop -p _keepalive_interval=300000 tcp
# ipadm set-prop -p _time_wait_interval=60000 tcp

– отключаем ответ на бродкаст

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

– нижний порог диапазона открытых портов

# ipadm set-prop -p smallest_anon_port=1024 tcp

Примечание.

Если нужно установить значение больше, чем приведённый диапазон, то посмотри, не зависят ли эти параметры от тех параметров, значение которых достаточно малы. К примеру: для увеличения диапазонов параметров recv_buf/send_buf нужно увеличить значение max_buf.

 

Дополнительно можно прочитать здесь

http://www.opennet.ru/base/sys/tcp_tune.txt.html
http://www.psc.edu/index.php/networking/641-tcp-tune