抵御DDOS攻擊,iptables限制TCP連接和頻率

eryang ? ? 系統運維

cc攻擊一到就有點兵臨城下的感覺,正確的設置防護規則可以做到臨危不亂,這里給出一個iptables對ip進行連接頻率和并發限制,限制單ip連接和頻率的設置規則的介紹

#單個IP在60秒內只允許新建20個連接,這里假設web端口就是80,

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

#控制單個IP的最大并發連接數為20

iptables  -I INPUT -p tcp –dport 80 -m connlimit  –connlimit-above 20 -j REJECT  

#每個IP最多20個初始連接

iptables -I  INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

參數解釋:

-p協議  

-m module_name:

-m tcp 的意思是使用 tcp 擴展模塊的功能 (tcp擴展模塊提供了 –dport, –tcp-flags, –sync等功能)

recent模塊:

–name #設定列表名稱,默認DEFAULT。

–rsource #源地址,此為默認。

–rdest #目的地址

–seconds #指定時間內

–hitcount #命中次數

–set #將地址添加進列表,并更新信息,包含地址加入的時間戳。

–rcheck #檢查地址是否在列表,以第一個匹配開始計算時間。

–update #和rcheck類似,以最后一個匹配計算時間。

–remove #在列表里刪除相應地址,后跟列表名稱及地址

connlimit功能:

connlimit模塊允許你限制每個客戶端IP的并發連接數,即每個IP同時連接到一個服務器個數。

connlimit模塊主要可以限制內網用戶的網絡使用,對服務器而言則可以限制每個IP發起的連接數。

–connlimit-above n    #限制為多少個

–connlimit-mask n     #這組主機的掩碼,默認是connlimit-mask 32 ,即每個IP.

原創文章,作者:eryang,如若轉載,請注明出處:http://www.www58058.com/15694

(3)
eryangeryang
上一篇 2016-05-07 14:52
下一篇 2016-05-09 19:43

相關推薦

  • 第七周作業

    第七周 1,創建一個10G分區,并格式化為ext4文件系統;(1) 要求其block大小為2048,預留空間百分比為2,卷標為MYDATA,默認掛載屬性包含acl;(2) 掛載至/data/mydata目錄,要求掛載時禁止程序自動運行,且不更新文件的訪問時間戳; [root@www ~]# fdisk /dev/sda <————-fd…

    Linux干貨 2017-09-03

  • linux的tty

    原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/140012 最近做了一個小測試,得到了以下結論 測試linux發行版本:rhel AS4.0 環境:VMware 5.0 目的:修改 vi /etc/initt…

    Linux干貨 2015-03-26

  • Linux http服務

                               Linux http服務   網絡服務通信基礎:   1、端口號就是進程標識,每個用戶最多只能打開1024個進程。   2、MAC地址僅…

    系統運維 2016-11-18

  • 詳解Ntbackup的五種備份方式(下)

    原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/145644 繼續上文。   四、差異備份(Differental Backup)     差異備份是…

    Linux干貨 2015-03-26

  • 設計模式(八)裝飾器模式Decorator(結構型)

    1. 概述        若你從事過面向對象開發,實現給一個類或對象增加行為,使用繼承機制,這是所有面向對象語言的一個基本特性。如果已經存在的一個類缺少某些方法,或者須要給方法添加更多的功能(魅力),你也許會僅僅繼承這個類來產生一個新類—這建立在額外的代碼上。       通過繼…

    Linux干貨 2015-07-03

  • rsyslog配置詳解,結合mysql+loganalyzer展現

        環境:Centos7.2 前言:系統日日夜夜不停地運行著,有這么一個守護進程,兢兢業業地不斷記錄它運行產生的日志,有不起眼的閑言碎語,值得管理員撇一眼的系統報錯,也默默地接收來自進程的嚴厲警告,甚至在內核崩潰前夕,同樣不遺余力記錄著當時發生的情形。他是無言的記錄者,沒有特別的修辭,但他的記錄的文字卻擲地有聲。本…

    系統運維 2016-10-25

評論列表(1條)

欧美性久久久久