linux抵御DDOS攻擊通過(guò)iptables限制TCP連接和頻率

更新時(shí)間：2016年05月16日 22:01:22 投稿：mdxy-dxy

這篇文章主要介紹了linux抵御DDOS攻擊通過(guò)iptables限制TCP連接和頻率,需要的朋友可以參考下

cc攻擊一到就有點(diǎn)兵臨城下的感覺(jué)，正確的設(shè)置防護(hù)規(guī)則可以做到臨危不亂，這里給出一個(gè)iptables對(duì)ip進(jìn)行連接頻率和并發(fā)限制，限制單ip連接和頻率的設(shè)置規(guī)則的介紹

#單個(gè)IP在60秒內(nèi)只允許新建20個(gè)連接,這里假設(shè)web端口就是80,

復(fù)制代碼代碼如下:

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP

iptables -I  INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

#控制單個(gè)IP的最大并發(fā)連接數(shù)為20

復(fù)制代碼代碼如下:

iptables  -I INPUT -p tcp –dport 80 -m connlimit  –connlimit-above 20 -j REJECT  

#每個(gè)IP最多20個(gè)初始連接

復(fù)制代碼代碼如下:

iptables -I INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

參數(shù)解釋：

-p協(xié)議
-m module_name：
-m tcp 的意思是使用 tcp 擴(kuò)展模塊的功能 (tcp擴(kuò)展模塊提供了 –dport, –tcp-flags, –sync等功能）
recent模塊：
–name #設(shè)定列表名稱，默認(rèn)DEFAULT。
–rsource #源地址，此為默認(rèn)。
–rdest #目的地址
–seconds #指定時(shí)間內(nèi)
–hitcount #命中次數(shù)
–set #將地址添加進(jìn)列表，并更新信息，包含地址加入的時(shí)間戳。
–rcheck #檢查地址是否在列表，以第一個(gè)匹配開(kāi)始計(jì)算時(shí)間。
–update #和rcheck類似，以最后一個(gè)匹配計(jì)算時(shí)間。
–remove #在列表里刪除相應(yīng)地址，后跟列表名稱及地址
connlimit功能：
connlimit模塊允許你限制每個(gè)客戶端IP的并發(fā)連接數(shù)，即每個(gè)IP同時(shí)連接到一個(gè)服務(wù)器個(gè)數(shù)。
connlimit模塊主要可以限制內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)使用，對(duì)服務(wù)器而言則可以限制每個(gè)IP發(fā)起的連接數(shù)。
–connlimit-above n 　　?。Ｏ拗茷槎嗌賯€(gè)
–connlimit-mask n 　　　＃這組主機(jī)的掩碼,默認(rèn)是connlimit-mask 32 ,即每個(gè)IP.

您可能感興趣的文章:

相關(guān)文章

Centos6.4 編譯安裝 nginx php的方法
這篇文章主要介紹了Centos6.4 編譯安裝 nginx php的方法,需要的朋友可以參考下
2017-03-03
Linux如何修改SSH端口號(hào)
這篇文章主要介紹了Linux如何修改SSH端口號(hào)問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2023-12-12
在Linux系統(tǒng)中srv目錄的作用詳解
在Linux系統(tǒng)中,/srv目錄用于存放與系統(tǒng)服務(wù)相關(guān)的數(shù)據(jù),如Web服務(wù)器、FTP服務(wù)器等,它提供了一種約定,用于將服務(wù)數(shù)據(jù)組織起來(lái),便于管理和維護(hù),通常,/srv目錄的內(nèi)容按照服務(wù)類型進(jìn)行子目錄劃分,便于管理和備份
2025-03-03
Linux查看文件大小的幾種方法匯總
這篇文章主要介紹了Linux查看文件大小的幾種方法匯總,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2023-09-09
如何通過(guò)其他主機(jī)查看Apahce服務(wù)器的運(yùn)行狀態(tài)
這篇文章主要介紹了如何通過(guò)其他主機(jī)查看Apahce服務(wù)器的運(yùn)行狀態(tài),需要的朋友可以參考下
2016-04-04
讓你知道什么是 SVN
subversion(簡(jiǎn)稱svn)是近年來(lái)崛起的版本管理工具，是cvs的接班人。目前，絕大多數(shù)開(kāi)源軟件都使用svn作為代碼版本管理軟件。
2009-03-03
關(guān)于Linux下conda安裝caffe與pb轉(zhuǎn)caffe問(wèn)題
這篇文章主要介紹了關(guān)于Linux下conda安裝caffe與pb轉(zhuǎn)caffe問(wèn)題,文中以圖文說(shuō)明了conda安裝caffe的方法,需要的朋友可以參考下
2023-03-03
deepin20 安裝英偉達(dá)閉源驅(qū)動(dòng)的步驟詳解
這篇文章主要介紹了deepin20 安裝英偉達(dá)閉源驅(qū)動(dòng)的步驟，本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
2020-09-09
Linux下刪除亂碼或特殊字符文件的方法講解
今天小編就為大家分享一篇關(guān)于Linux下刪除亂碼或特殊字符文件的方法講解，小編覺(jué)得內(nèi)容挺不錯(cuò)的，現(xiàn)在分享給大家，具有很好的參考價(jià)值，需要的朋友一起跟隨小編來(lái)看看吧
2019-03-03
Linux內(nèi)核頁(yè)表及頁(yè)表緩存原理
這篇文章主要介紹了Linux內(nèi)核頁(yè)表及Linux頁(yè)表緩存原理，文章中又詳細(xì)的圖文介紹，感興趣的小伙伴可以借鑒參考
2023-04-04