Dieser Artikel führt Sie in die Methode ein, dieselbe IP-Verbindung zu beschränken, um CC/DDOS-Angriffe von Iptables unter Linux zu verhindern; dies ist nur die am besten basierende Präventionsmethode, wenn es sich um einen echten Angriff handelt, benötigen wir noch Hardware, um ihn zu verhindern.
1. Die maximale Anzahl der an Port 80 angeschlossenen IP-Verbindungen beträgt 10, die angepasst und modifiziert werden können. (Maximale Verbindung pro IP)
Service iptables speichern
Service iptables restart
Die oben genannten beiden Effekte sind die gleichen, es wird empfohlen, den ersten zu verwenden,
iptables, ein Firewall-Tool, ich glaube, dass fast alle O&M-Freunde es nutzen. Wie wir alle wissen, hat iptables drei Möglichkeiten, eingehende Pakete zu handhaben, nämlich AKZEPTIEREN, FALLEN, ABLEHNEN. AKZEPTIEREN ist leicht zu verstehen, aber was ist der Unterschied zwischen ABLEHNEN und DROPPEN? Eines Tages hörte ich Serys Erklärung und fand, dass sie leicht verständlich war:
"Es ist, als würde ein Lügner dich rufen,Drop bedeutet, es direkt abzulehnen. Wenn du ablehnst, ist das gleichbedeutend damit, den Betrüger zurückzurufen.”
Tatsächlich stellen sich viele Menschen schon lange die Frage, ob man DROP oder REJECT verwenden soll. REJECT liefert tatsächlich ein zusätzliches ICMP-Fehlermeldungspaket zurück als DROP, und die beiden Strategien haben ihre eigenen Vor- und Nachteile, die sich wie folgt zusammenfassen lassen:
DROP ist in Bezug auf Ressourceneinsparungen besser als REFUGE, und verlangsamt den Fortschritt des Hacks (da keine Informationen über den Server an den Hacker zurückgegeben werden); Das Schlechte ist, dass es leicht ist, Netzwerkprobleme von Unternehmen zu beheben, und es ist leicht, im Falle eines DDoS-Angriffs die gesamte Bandbreite zu erschöpfen.
|
Veröffentlicht am 09.07.2016 22:09:05
|
|
|
