Tässä artikkelissa esitellään menetelmä, jolla rajoitetaan samaa IP-yhteyttä estääkseen CC/DDOS-hyökkäykset Iptablesilta Linuxissa, tämä on vain kaikkein perustellisin ehkäisymenetelmä, ja jos kyseessä on oikea hyökkäys, tarvitsemme silti laitteistoa estääksemme sen.
1. Porttiin 80 liitettyjen IP-yhteyksien enimmäismäärä on 10, joita voidaan muokata ja muokata. (Maksimiyhteys per IP)
Palvelu Iptables-tallennus
Palvelu Iptables uudelleenkäynnistys
Edellä mainitut kaksi vaikutusta ovat samat, suositellaan käyttämään ensimmäistä,
iptables, palomuurityökalu, uskoakseni melkein kaikki O&M-ystävät käyttävät sitä. Kuten tiedämme, iptablesilla on kolme tapaa käsitellä saapuvia paketteja: HYVÄKSY, PUDOTA, HYLKÄÄ. HYVÄKSY on helppo ymmärtää, mutta mikä on ero hylkäämisen ja DROPin välillä? Eräänä päivänä kuulin Seryn selityksen ja tunsin, että se oli helppo ymmärtää:
"Se on kuin valehtelija kutsuisi sinua,Drop on hylätä se suoraan. Jos hylkäät, se vastaa sitä, että soittaisit huijarille takaisin.”
Itse asiassa monet ovat jo pitkään kysyneet tätä kysymystä siitä, pitäisikö käyttää DROP- vai REJECT-toimintoa. REJECT palauttaa itse asiassa yhden ICMP-virheviestipaketin enemmän kuin DROP, ja näillä kahdella strategialla on omat etunsa ja haittansa, jotka voidaan tiivistää seuraavasti:
DROP on parempi kuin REJECT resurssisäästöjen kannalta, ja hakkeroinnin etenemisen hidastaminen (koska se ei palauta mitään tietoa palvelimesta hakkerille); Huono puoli on, että yritysten verkkoongelmien selvittäminen on helppoa, ja DDoS-hyökkäyksen sattuessa on helppo käyttää kaikki kaistanleveys loppuun.
|
Julkaistu 9.7.2016 22.09.05
|
|
|
