|
|
Zveřejněno 09.07.2016 22:09:05
|
|
|
Tento článek vás seznámí s metodou omezení stejného IP připojení, aby se zabránilo útokům CC/DDOS ze strany Iptables v Linuxu, což je pouze nejzákladnější metoda prevence, pokud jde o skutečný útok, stále potřebujeme hardware, abychom mu zabránili.
1. Maximální počet IP připojení připojených k portu 80 je 10, které lze přizpůsobit a upravit. (Maximální připojení na IP)
Service IPTABLES save
Restart Service IPTABLES
Výše uvedené dva efekty jsou stejné, doporučuje se použít ten první,
iptables, firewallový nástroj, věřím, že ho používá téměř všichni přátelé O&M. Jak všichni víme, iptables má tři způsoby, jak zpracovat příchozí pakety, a to PŘIJMOUT, ZTRATIT, ODMÍTNOUT. PŘIJMOUT je snadné pochopit, ale jaký je rozdíl mezi ODMÍTNUTÍM a ODMÍTNUTÍM? Jednoho dne jsem slyšel Seryho vysvětlení a přišlo mi snadné na pochopení:
"Je to jako lhář, který tě volá,drop znamená přímo ho odmítnout. Pokud odmítnete, je to jako byste zavolali podvodníkovi zpět.”
Ve skutečnosti si mnoho lidí klade tuto otázku už dávno, zda používat DROP nebo REJECT. REJECT ve skutečnosti vrací o jeden balíček chybových zpráv ICMP více než DROP a obě strategie mají své výhody a nevýhody, které lze shrnout následovně:
DROP je lepší než ODMÍTNUTÍ, pokud jde o úsporu zdrojů, a zpomalení průběhu hacku (protože hackerovi nevrací žádné informace o serveru); Špatné je, že je snadné ztížit řešení problémů sítí podniků a je snadné vyčerpat veškerou šířku pásma v případě DDoS útoku.
|
Předchozí:Používání 360 Website Defender TTFB příliš dlouhoDalší:Napište vám, kdo útočí na web, je to nuda!
|
