Αυτό το άρθρο θα σας παρουσιάσει τη μέθοδο περιορισμού της ίδιας σύνδεσης IP για την αποτροπή επιθέσεων CC/DDOS από Iptables στο linux, αυτή είναι μόνο η πιο βασισμένη μέθοδος πρόληψης, εάν η πραγματική επίθεση χρειαζόμαστε ακόμα υλικό για να την αποτρέψουμε.
1. Ο μέγιστος αριθμός συνδέσεων IP που συνδέονται στη θύρα 80 είναι 10, οι οποίες μπορούν να προσαρμοστούν και να τροποποιηθούν. (Μέγιστη σύνδεση ανά IP)
Υπηρεσία iptables αποθήκευση
Επανεκκίνηση της υπηρεσίας iptables
Τα δύο παραπάνω αποτελέσματα είναι τα ίδια, συνιστάται η χρήση του πρώτου,
iptables, ένα εργαλείο τείχους προστασίας, πιστεύω ότι σχεδόν όλοι οι φίλοι O&M το χρησιμοποιούν. Όπως όλοι γνωρίζουμε, το iptables έχει τρεις τρόπους χειρισμού των εισερχόμενων πακέτων, δηλαδή ACCEPT, DROP, REJECT. Το ACCEPT είναι εύκολο να κατανοηθεί, αλλά ποια είναι η διαφορά μεταξύ ΑΠΟΡΡΙΨΗΣ και ΑΠΟΡΡΙΨΗΣ; Μια μέρα άκουσα την εξήγηση του Σέρι και ένιωσα ότι ήταν εύκολο να το καταλάβω:
«Είναι σαν να σε καλεί ένας ψεύτης,Drop είναι να το απορρίψεις άμεσα. Εάν απορρίψετε, ισοδυναμεί με το να καλέσετε πίσω τον απατεώνα.”
Στην πραγματικότητα, πολλοί άνθρωποι έχουν κάνει αυτήν την ερώτηση εδώ και πολύ καιρό σχετικά με το αν πρέπει να χρησιμοποιήσουν το DROP ή το REJECT. Το REJECT επιστρέφει στην πραγματικότητα ένα ακόμη πακέτο μηνυμάτων σφάλματος ICMP από το DROP και οι δύο στρατηγικές έχουν τα δικά τους πλεονεκτήματα και μειονεκτήματα, τα οποία μπορούν να συνοψιστούν ως εξής:
Το DROP είναι καλύτερο από το REJECT όσον αφορά την εξοικονόμηση πόρων, και επιβράδυνση της προόδου του hack (επειδή δεν επιστρέφει καμία πληροφορία σχετικά με τον διακομιστή στον χάκερ). Το κακό είναι ότι είναι εύκολο να δυσκολέψεις την αντιμετώπιση προβλημάτων δικτύου των επιχειρήσεων και είναι εύκολο να εξαντλήσεις όλο το εύρος ζώνης σε περίπτωση επίθεσης DDoS.
|
Δημοσιεύτηκε στις 9/7/2016 10:09:05 μ.μ.
|
|
|
