Cet article va vous présenter la méthode pour restreindre la même connexion IP afin de prévenir les attaques CC/DDOS provenant d’Iptables sous Linux ; c’est seulement la méthode de prévention la plus foncée, mais si c’est la véritable attaque, nous avons encore besoin du matériel pour la prévenir.
1. Le nombre maximal de connexions IP connectées au port 80 est de 10, qui peuvent être personnalisées et modifiées. (Connexion maximale par IP)
service iptables sauvegarder
Service iptables redémarrage
Les deux effets ci-dessus sont les mêmes, il est recommandé d’utiliser le premier,
iptables, un outil de pare-feu, je crois que presque tous les amis du O&M l’utilisent. Comme nous le savons tous, iptables propose trois façons de gérer les paquets entrants, à savoir ACCEPTER, DROP, REJECT. ACCEPTER est facile à comprendre, mais quelle est la différence entre REJETER et ABANDONNER ? Un jour, j’ai entendu l’explication de Sery et j’ai trouvé que c’était facile à comprendre :
« C’est comme si un menteur t’appelait,Abandonner, c’est le rejeter directement. Si vous refusez, c’est comme si vous rappelliez l’escroc.”
En fait, beaucoup de gens se posent cette question depuis longtemps à savoir s’il fallait utiliser DROP ou REJECT. REJECT renvoie en réalité un paquet de message d’erreur ICMP de plus que DROP, et les deux stratégies ont leurs propres avantages et inconvénients, qui peuvent être résumés ainsi :
DROP est meilleur que REJECT en termes d’économies de ressources, et ralentir la progression du piratage (car il ne renvoie aucune information sur le serveur au hacker) ; Le problème, c’est qu’il est facile de rendre difficile le dépannage des problèmes réseau des entreprises, et il est facile d’épuiser toute la bande passante en cas d’attaque DDoS.
|
Publié sur 09/07/2016 22:09:05
|
|
|
