Artikel ini akan memperkenalkan Anda pada metode pembatasan koneksi IP yang sama untuk mencegah serangan CC/DDOS dari Iptables di linux, ini hanya metode pencegahan yang paling berdasarkan, jika serangan nyata kita masih membutuhkan perangkat keras untuk mencegahnya.
1. Jumlah maksimum koneksi IP yang terhubung ke port 80 adalah 10, yang dapat disesuaikan dan dimodifikasi. (Koneksi maksimum per IP)
layanan iptables menyimpan
Layanan iptables restart
Dua efek di atas sama, disarankan untuk menggunakan yang pertama,
iptables, alat firewall, saya percaya bahwa hampir semua teman O&M menggunakannya. Seperti yang kita ketahui bersama, iptables memiliki tiga cara untuk menangani paket yang masuk, yaitu ACCEPT, DROP, REJECT. ACCEPT mudah dipahami, tetapi apa perbedaan antara REJECT dan DROP? Suatu hari saya mendengar penjelasan Seri, dan merasa mudah dipahami:
"Ini seperti pembohong yang memanggilmu,drop adalah menolaknya secara langsung. Jika Anda menolak, itu sama dengan Anda memanggil kembali scammer.”
Bahkan, banyak orang yang menanyakan pertanyaan ini sejak lama tentang apakah akan menggunakan DROP atau REJECT. REJECT sebenarnya mengembalikan satu paket pesan kesalahan ICMP lebih banyak daripada DROP, dan kedua strategi tersebut memiliki kelebihan dan kekurangannya masing-masing, yang dapat diringkas sebagai berikut:
DROP lebih baik daripada REJECT dalam hal penghematan sumber daya, dan memperlambat kemajuan peretasan (karena tidak mengembalikan informasi apa pun tentang server ke peretas); Hal buruknya adalah mudah untuk mempersulit memecahkan masalah jaringan perusahaan, dan mudah untuk menghabiskan semua bandwidth jika terjadi serangan DDoS.
|
Diposting pada 09/07/2016 22.09.05
|
|
|
