See artikkel tutvustab sulle meetodit, kuidas piirata sama IP-ühendust, et takistada CC/DDOS rünnakuid Iptablesi poolt Linuxis, see on kõige põhisem ennetusmeetod, kui tõeline rünnak on vajalik, vajame selleks siiski riistvara.
1. Maksimaalne IP-ühenduste arv, mis on ühendatud pordile 80, on 10, mida saab kohandada ja muuta. (Maksimaalne ühendus IP kohta)
Teenuse Iptables salvestamine
Teenuse Iptables taaskäivitamine
Ülaltoodud kaks mõju on samad, soovitatav on kasutada esimest,
iptables, tulemüüri tööriist, usun, et peaaegu kõik O&M sõbrad kasutavad seda. Nagu me kõik teame, on iptables'il kolm viisi saabuvate pakettide käsitlemiseks: ACCEPT, DROP, REJECT. AKTSEPTEERIMINE on lihtne mõista, aga mis on TAGASILÜKKAMISEL ja LOOBUMISEL? Ühel päeval kuulsin Sery selgitust ja tundsin, et seda on lihtne mõista:
"See on nagu valetaja, kes kutsub sind,Drop on see otse tagasi lükata. Kui sa keeldud, on see sama, mis sa helistad petturi tagasi.”
Tegelikult on paljud inimesed seda küsimust juba ammu küsinud, kas kasutada DROP või REJECT. REJECT tagastab tegelikult ühe ICMP veateate paketi rohkem kui DROP ning neil kahel strateegial on omad eelised ja puudused, mida saab kokku võtta järgmiselt:
DROP on ressursisäästu poolest parem kui REJECT, ja aeglustas häkkimise edenemist (sest see ei tagasta häkkerile serveri kohta mingit infot); Halb on see, et ettevõtete võrguprobleemide lahendamine on lihtne keeruliseks ning DDoS-rünnaku korral on lihtne kogu ribalaius ammendada.
|
Postitatud 09.07.2016 22:09:05
|
|
|
