linux抵御DDoS攻击方法 通过iptables限制TCP连接和频率

cc攻击一到就有点兵临城下的感觉,正确的设置防护规则可以做到临危不乱,这里给出一个iptables对ip进行连接频率和并发限制,限制单ip连接和频率的设置规则的介绍,下面我们来详细了解linux抵御DDoS攻击,通过iptables限制TCP连接和频率的方法。

#单个IP在60秒内只允许新建20个连接,这里假设web端口就是80

代码如下:

iptables -I INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP
iptables -I INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

#控制单个IP的最大并发连接数为20

代码如下:

iptables -I INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

参数解释:

-p协议

-m module_name:

-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 –dport, –tcp-flags, –sync等功能)

recent模块:

–name #设定列表名称,默认DEFAULT。

–rsource #源地址,此为默认。

–rdest #目的地址

–seconds #指定时间内

–hitcount #命中次数

–set #将地址添加进列表,并更新信息,包含地址加入的时间戳。

–rcheck #检查地址是否在列表,以第一个匹配开始计算时间。

–update #和rcheck类似,以最后一个匹配计算时间。

–remove #在列表里删除相应地址,后跟列表名称及地址

connlimit功能:

connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。

connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。

–connlimit-above n    #限制为多少个

–connlimit-mask n     #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.

当然,现在很多云服务提供商会提供相关的ddos防御服务,可以有效防护你的服务器空间。云服务器大多自带相关防御,而虚拟主机在防御方面会稍弱,但对一般的网站已经足够。运维在使用云服务商提供的默认防御外,仍旧需要学习一些网络攻击的防御知识,这样在安全性方面可以做到更高。

赞(2)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:fanjiao@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码知识库 » linux抵御DDoS攻击方法 通过iptables限制TCP连接和频率

登录

找回密码

注册