最新消息:Kglan博客,DDOS防护,CC防护,Syn防护,系统架构师,系统架构,系统架构设计师,网络安全高级工程师,海外无限防护系统,特征码防护系统,自定义cc策略防护,锐速云防护系统,v5dun域名,v5dun域名

linux抵御DDOS攻击 通过iptables限制TCP连接和频率

iptables admin 19浏览

linux抵御DDOS攻击 通过iptables限制TCP连接和频率

一、CC攻击及参数详解

cc攻击一到就有点兵临城下的感觉,正确的设置防护规则可以做到临危不乱,这里给出一个iptables对ip进行连接频率和并发限制,限制单ip连接和频率的设置规则的介绍

单个IP在60秒内只允许新建20个连接,这里假设web端口就是80,

iptables -I  INPUT -i eth0 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP
iptables -I  INPUT -i eth0 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

控制单个IP的最大并发连接数为20

iptables  -I INPUT -p tcp –dport 80 -m connlimit  –connlimit-above 20 -j REJECT

每个IP最多20个初始连接

iptables -I  INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

参数解释:

-p  协议  
-m module_name:-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 –dport, –tcp-flags, –sync等功能)

recent模块:

–name  #设定列表名称,默认DEFAULT。
–rsource  #源地址,此为默认。
–rdest  #目的地址
–seconds  #指定时间内
–hitcount  #命中次数
–set  #将地址添加进列表,并更新信息,包含地址加入的时间戳。
–rcheck  #检查地址是否在列表,以第一个匹配开始计算时间。
–update  #和rcheck类似,以最后一个匹配计算时间。
–remove  #在列表里删除相应地址,后跟列表名称及地址

connlimit功能:

connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。 connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数

–connlimit-above n  #限制为多少个
–connlimit-mask n  #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.

二、Iptables抵御常见攻击

1、防止syn攻击(限制单个ip的最大syn连接数)

iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP

2、防止DOS攻击

a、利用recent模块抵御DOS攻击

iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP

b、单个ip对多连接3个会话

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

c、只要是新的连接请求,就把它加入到SSH列表中

5分钟内你的尝试次数达到3次,就拒绝提供SSH列表中的这个IP服务。5分钟后即可恢复(更改SSH端口也可)

iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

3、防止单个IP访问量过大

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

4、防止ping攻击

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

5、防止SYN攻击,轻量级预防

iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

百度未收录

转载请注明:Kglan » linux抵御DDOS攻击 通过iptables限制TCP连接和频率