抵御DDOS攻擊,iptables限制TCP連接和頻率

eryang ? ? 系統運維

cc攻擊一到就有點兵臨城下的感覺,正確的設置防護規則可以做到臨危不亂,這里給出一個iptables對ip進行連接頻率和并發限制,限制單ip連接和頻率的設置規則的介紹

#單個IP在60秒內只允許新建20個連接,這里假設web端口就是80,

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

#控制單個IP的最大并發連接數為20

iptables  -I INPUT -p tcp –dport 80 -m connlimit  –connlimit-above 20 -j REJECT  

#每個IP最多20個初始連接

iptables -I  INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

參數解釋:

-p協議  

-m module_name:

-m tcp 的意思是使用 tcp 擴展模塊的功能 (tcp擴展模塊提供了 –dport, –tcp-flags, –sync等功能)

recent模塊:

–name #設定列表名稱,默認DEFAULT。

–rsource #源地址,此為默認。

–rdest #目的地址

–seconds #指定時間內

–hitcount #命中次數

–set #將地址添加進列表,并更新信息,包含地址加入的時間戳。

–rcheck #檢查地址是否在列表,以第一個匹配開始計算時間。

–update #和rcheck類似,以最后一個匹配計算時間。

–remove #在列表里刪除相應地址,后跟列表名稱及地址

connlimit功能:

connlimit模塊允許你限制每個客戶端IP的并發連接數,即每個IP同時連接到一個服務器個數。

connlimit模塊主要可以限制內網用戶的網絡使用,對服務器而言則可以限制每個IP發起的連接數。

–connlimit-above n   ?。O拗茷槎嗌賯€

–connlimit-mask n     #這組主機的掩碼,默認是connlimit-mask 32 ,即每個IP.

原創文章,作者:eryang,如若轉載,請注明出處:http://www.www58058.com/15694

(3)
eryangeryang
上一篇 2016-05-07
下一篇 2016-05-09

相關推薦

  • OpenStack Icehouse私有云實戰部署

    前言 相信你一定對“云主機”一詞并不陌生吧,通過在Web頁面選擇所需主機配置,即可快速定制一臺屬于自己的虛擬主機,并實現登陸操作,大大節省了物理資源。但這一過程是如何實現的呢?本文帶來OpenStack Icehouse私有云實戰部署。 OpenStack 簡介 OpenStack是由網絡主機服務商Rackspace和美國宇航局聯合推出的一個開源項目,Ope…

    Linux干貨 2015-07-29

  • 初識正則表達式

    正則表達式是個什么東東? 正則表達式,又稱正規表示法、常規表示法(英語:Regular Expression,在代碼中常簡寫為regex、regexp或RE)。在很多文本編輯器里、命令中,通常要使用檢索、替換、放行和拒絕那些符合某個模式的文本。而正則表達式就是用于描述這些規則的工具。換句話說,正則表達式就是記錄文本規則的代碼。  摘自《正則表達式之…

    Linux干貨 2015-03-27

  • 機器學習排序

     從使用的數據類型,以及相關的機器學習技術的觀點來看,互聯網搜索經歷了三代的發展歷程。        第一代技術,將互聯網網頁看作文本,主要采用傳統信息檢索的方法。        第二代技術,利用互聯網的超文本結構,有效…

    Linux干貨 2015-12-15

  • Linux安全和openssl、gpg加密

                     Linux安全和openssl、gpg加密 本章內容: 安全機制 對稱加密 不對稱加密 散列算法 PKI和CA openssl 證書管理 gpg   加密需要: 不加密的流量易受攻擊性 密碼/數據嗅探 數據操作 驗證操作 相當…

    系統運維 2016-10-09

  • 設計模式 ( 十九 ) 模板方法模式Template method(類行為型)

    設計模式 ( 十九 ) 模板方法模式Template method(類行為型) 1.概述 在面向對象開發過程中,通常我們會遇到這樣的一個問題:我們知道一個算法所需的關鍵步驟,并確定了這些步驟的執行順序。但是某些步驟的具體實現是未知的,或者說某些步驟的實現與具體的環境相關。例子1:銀行業務辦理流程在銀行辦理業務時,一般都包含幾個基本固定步驟:取號排隊->…

    Linux干貨 2015-04-07

  • Linux GRUB legacy

    Linux GRUB Linux GRUB Linux GRUB 單用戶模式(密碼破解) 救援模式 實例 GRUB菜單 GRUB命令行接口 GRUB簡介 GRUB 菜單組成 GRUB配置文件 GRUB安裝及修復 GRUB單用戶及救援模式 GRUB簡介 了解grub之前,需要理解linux的啟動流程,如果之前有對linux啟動流程不了解的可以看:http://…

    Linux干貨 2016-04-25

評論列表(1條)

欧美性久久久久