使用iptables緩解DDOS及CC攻擊

追馬 ? ? Linux干貨, 安全運維

緩解DDOS攻擊

防止SYN攻擊,輕量級預防

iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

防止DOS太多連接進來,可以允許外網網卡每個IP最多15個初始連接,超過的丟棄

iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

用Iptables緩解DDOS (參數與上相同)

iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

緩解CC攻擊

當apache站點受到嚴重的cc攻擊,我們可以用iptables來防止web服務器被CC攻擊,自動屏蔽攻擊IP。

1.系統要求
(1)LINUX 內核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它內核版本需要重新編譯內核,比較麻煩,但是也是可以實現的)。
(2)iptables版本:1.3.7

  1. 安裝
    安裝iptables1.3.7和系統內核版本對應的內核模塊kernel-smp-modules-connlimit

  2. 配置相應的iptables規則

示例如下:

(1)控制單個IP的最大并發連接數

iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 25 -j REJECT #允許單個IP的最大連接數為25個

早期iptables模塊不包含connlimit,需要自己單獨編譯加載,請參考該地址http://sookk8.blog.51cto.com/455855/280372 不編譯內核加載connlimit模塊

(2)控制單個IP在一定的時間(比如60秒)內允許新建立的連接數

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

單個IP在60秒內只允許最多新建30個連接

實時查看模擬攻擊客戶機建立起來的連接數

watch 'netstat -an | grep:21 | grep <攻擊IP>| wc -l

查看模擬攻擊客戶機被 DROP 的數據包數

watch 'iptables -L -n -v | grep <攻擊IP>

 

原文鏈接:http://www.cszhi.com/20111010/iptables-remission-ddos-cc.html

 

 

原創文章,作者:追馬,如若轉載,請注明出處:http://www.www58058.com/368

(0)
追馬追馬
上一篇 2015-02-09 10:33
下一篇 2015-02-09 11:19

相關推薦

  • Net25-第9周作業

    1、寫一個腳本,判斷當前系統上所有用戶的shell是否為可登錄shell(即用戶的shell不是/sbin/nologin);分別這兩類用戶的個數;通過字符串比較來實現; #!/bin/bash for line in `cat /etc/passwd`;do if [[ `echo $line | awk -F: ‘{print $7}’` == ‘/sb…

    Linux干貨 2017-03-15

  • 配置yum服務器——以centOS 6.9系統為例

    準備工作 關閉防火墻  關閉防火墻service iptables stop  設置防火墻開機不啟動chkconfig iptables off  查看一下防火墻狀態 iptables -vnL 如下圖,可以看到已經關閉 關閉SElinux 使用命令 vim /etc/selinux/config 將SELINUX=enable…

    Linux干貨 2017-08-05

  • Openssl——為你的信息保駕護航

    OpenSSL基礎 ·傳輸層協議:TCP,UDP,SCTP         port:進程地址,進程向內核注冊使用某端口(獨占) ·同一主機上的進程間通信:IPC,message queue,shm,semerphor ·不同主機上的進程間通信:socket  &nbs…

    Linux干貨 2016-09-22

  • samba服務實現:linux和windows之間共享

    1,首先在linux(centos6,7)安裝好samba程序:     yum -y install samba   samba-common        主配置文件:/etc/samba/smb.conf   ~]# groupadd share_gro…

    2017-03-05

  • Linux grep與正則表達式淺析

    #Linux grep與正則表達式淺析 ##grep   grep(global search regular expression(RE) and print out the line,全面搜索正則表達式并把行打印出來)是一種強大的文本搜索工具,它能使用正則表達式搜索文本,并把匹配的行打印出來。 ###grep語法    &n…

    Linux干貨 2017-04-06

  • 有證說話硬–實現CA和證書申請

    centos下利用openssl來實現證書的頒發 直接進入正題,細節坑就不說了,自己解決起來更有挑戰性不是 步驟流程: 我是拿的7.3版本做CA主機,6.8版本做客戶端 1.創建CA 2.生成私鑰 3.生成自簽名證書 4.到客服端 5.生成私鑰 6.生成證書申請文件 7.將請求發送給-CA主機 8.CA主機-驗證簽署 9.拷回給客戶端使用 用法:openss…

    2017-04-11
欧美性久久久久