Ez a cikk bemutatja azt a módszert, amellyel ugyanazt az IP kapcsolatot korlátozzuk, hogy megakadályozzuk a CC/DDOS támadásokat az Iptables Linuxban, ez csak a legalaposabb megelőzési módszer, ha a valódi támadás esetén még hardverre van szükségünk annak megelőzéséhez.
1. A 80-as porthoz csatlakoztatott IP kapcsolatok maximális száma 10, amely testreszabható és módosítható. (Maximális kapcsolat IP-nként)
Service Iptables mentése
Service Iptables újraindítása
A fenti két hatás ugyanaz, ajánlott az elsőt használni,
az iptables, egy tűzfal eszköz, úgy tudom, szinte minden O&M barát használja. Ahogy mindannyian tudjuk, az iptables három módon kezeli a bejövő csomagokat: ACCEPT, DROP, REJECT. Az ACCEPT könnyű megérteni, de mi a különbség az ELUTASÍTÁS és a DOBÁS között? Egy nap hallottam Sery magyarázatát, és úgy éreztem, könnyű megérteni:
"Olyan, mintha egy hazug hívna téged,Drop az, hogy közvetlenül elutasítod. Ha elutasítod, az egyenértékű azzal, mintha visszahívod a csalót.”
Valójában sokan már régóta feltették ezt a kérdést arról, hogy használjak-e a DROP-ot vagy a RED (DROP) vagy a RED (DROP) (EJECT) használatát. A REJECT valójában egy ICMP hibaüzenetcsomaggal többet ad vissza, mint a DROP, és a két stratégiának megvannak az előnyei és hátrányai, amelyeket a következőképpen összefoglalhatunk:
A DROP jobb erőforrás-megtakarítás szempontjából, mint a REJECT, és lassítja a hack előrehaladását (mert nem ad vissza semmilyen információt a szerverről a hackernek); A rossz oldal az, hogy könnyű megnehezíteni a vállalatok hálózati problémáinak megoldását, és könnyen kimeríthető az összes sávszélességet DDoS támadás esetén.
|
Közzétéve 2016. 07. 09. 22:09:05
|
|
|
