Questo articolo ti presenterà il metodo per limitare la stessa connessione IP per prevenire attacchi CC/DDOS da Iptables su Linux; questo è solo il metodo di prevenzione più basato; se il vero attacco serve comunque l'hardware per prevenirlo.
1. Il numero massimo di connessioni IP collegate alla porta 80 è 10, che può essere personalizzata e modificata. (Connessione massima per IP)
Service iptables salva
riavvio di service iptables
I due effetti sopra descritti sono gli stessi, si consiglia di usare il primo,
iptables, uno strumento firewall, credo che quasi tutti gli amici di O&M lo usino. Come tutti sappiamo, iptables ha tre modi per gestire i pacchetti in arrivo, ovvero ACCETTARE, DROP, REJECT. ACCETTA è facile da capire, ma qual è la differenza tra RIFIUTARE e ABBANDONARE? Un giorno ho ascoltato la spiegazione di Sery e ho pensato che fosse facile da capire:
"È come se un bugiardo ti chiamasse,Lasciare significa rifiutarlo direttamente. Se rifiuti, è come se tu richiamasse il truffatore.”
In effetti, molte persone si sono poste questa domanda da molto tempo se usare DROP o REJECT. REJECT restituisce in realtà un pacchetto di messaggi di errore ICMP in più rispetto a DROP, e le due strategie hanno i loro vantaggi e svantaggi, che possono essere riassunti come segue:
DROP è meglio di REJECT in termini di risparmio di risorse, e rallentando il progresso dell'hack (poiché non restituisce alcuna informazione sul server all'hacker); Il problema è che è facile rendere difficile risolvere problemi di rete nelle imprese, ed è facile esaurire tutta la banda in caso di attacco DDoS.
|
Pubblicato su 09/07/2016 22:09:05
|
|
|
