|
|
Публикувано в 9.07.2016 г. 22:09:05 ч.
|
|
|
Тази статия ще ви запознае с метода за ограничаване на една и съща IP връзка, за да се предотвратят CC/DDOS атаки от Iptables в Linux, това е само най-базираният метод за превенция, ако е реалната атака, все още ни трябва хардуер, за да я предотвратим.
1. Максималният брой IP връзки, свързани към порт 80, е 10, които могат да бъдат персонализирани и модизирани. (Максимална връзка на IP)
Служба iptables запазва
Услуга iptables рестартира
Горните два ефекта са еднакви, препоръчително е да се използва първият,
iptables, инструмент за защитна стена, вярвам, че почти всички приятели от O&M го използват. Както всички знаем, iptables има три начина за обработка на входящи пакети, а именно ПРИЕМАНЕ, ИЗКЛЮЧВАНЕ, ОТХВЪРЛЯНЕ. ACCEPT е лесен за разбиране, но каква е разликата между REJECT и DROP? Един ден чух обяснението на и почувствах, че е лесно за разбиране:
"Все едно лъжец те вика,Drop означава да го отхвърлиш директно. Ако откажеш, това е еквивалентно на това да се обадиш обратно на измамника.”
Всъщност много хора задават този въпрос отдавна дали да използват DROP или REJECT. REJECT всъщност връща още един пакет с ICMP съобщения за грешка в сравнение с DROP, а двете стратегии имат своите предимства и недостатъци, които могат да се обобщят по следния начин:
DROP е по-добър от REJECT по отношение на спестяването на ресурси, и забавя напредъка на хакването (тъй като не връща никаква информация за сървъра на хакера); Лошото е, че е лесно да се затрудни отстраняването на мрежови проблеми на предприятията и да се изчерпи цялата пропускателна способност при DDoS атака.
|
Предишен:Използване на 360 Website Defender TTFB твърде дългоСледващ:Пишете на вас, които атакуват сайта, скучен е!
|
