Este artículo te presentará el método para restringir la misma conexión IP para prevenir ataques CC/DDOS de Iptables en Linux; este es solo el método de prevención más básico; si es un ataque real, aún necesitamos hardware para evitarlo.
1. El número máximo de conexiones IP conectadas al puerto 80 es 10, que pueden personalizarse y modificarse. (Conexión máxima por IP)
Service iptables guardar
reinicio de servicio iptables
Los dos efectos anteriores son los mismos, se recomienda usar el primero,
iptables, una herramienta de firewall, creo que casi todos los amigos de O&M la usan. Como todos sabemos, iptables tiene tres formas de gestionar los paquetes entrantes: ACEPTAR, DESCARTAR Y RECHAZAR. ACEPTAR es fácil de entender, pero ¿cuál es la diferencia entre RECHAZAR y DESCARTAR? Un día escuché la explicación de Sery y me pareció fácil de entender:
"Es como si un mentiroso te llamara,Dejar de lado es rechazarlo directamente. Si rechazas, es equivalente a que vuelvas a llamar al estafador.”
De hecho, mucha gente se ha hecho esta pregunta desde hace mucho tiempo sobre si usar DROP o REJECT. REJECT en realidad devuelve un paquete de mensajes de error ICMP más que DROP, y ambas estrategias tienen sus propias ventajas y desventajas, que pueden resumirse de la siguiente manera:
DROP es mejor que REJECT en términos de ahorro de recursos, y ralentizar el avance del hackeo (porque no devuelve ninguna información sobre el servidor al hacker); Lo malo es que es fácil dificultar la resolución de problemas de red en las empresas, y es fácil agotar todo el ancho de banda en caso de un ataque DDoS.
|
Publicado en 9/7/2016 22:09:05
|
|
|
