이 글에서는 리눅스에서 Iptables에서 CC/DDOS 공격을 막기 위해 동일한 IP 연결을 제한하는 방법을 소개할 것입니다. 이는 가장 근본적인 예방 방법일 뿐이며, 실제 공격은 하드웨어가 필요합니다.
1. 포트 80에 연결된 최대 IP 연결 수는 10개이며, 이는 사용자 지정 및 수정이 가능합니다. (IP당 최대 연결)
Service iptables save
Service iptables 재시작
위의 두 효과는 동일하며, 첫 번째 효과 사용을 권장합니다.
iptables라는 방화벽 도구인데, 거의 모든 O&M 친구들이 사용하는 것으로 알고 있습니다. 우리가 모두 알다시피, iptables는 들어오는 패킷을 처리하는 세 가지 방법이 있습니다. 즉, ACCEPT, DROP, Reject입니다. ACCEPT는 이해하기 쉽지만, REJECT와 DROP의 차이는 무엇인가요? 어느 날 세리의 설명을 듣고 이해하기 쉬웠습니다:
"거짓말쟁이가 너를 부르는 것 같아,드롭은 직접 거절하는 것입니다. 거절하면 사기꾼에게 다시 전화하는 것과 같습니다.”
사실, 많은 사람들이 오래전부터 DROP(드롭)을 사용할지 REJECT를 사용할지에 대해 이 질문을 해왔습니다. REJECT는 실제로 DROP보다 ICMP 오류 메시지 패키지를 하나 더 반환하며, 두 전략은 각각 장단점이 있어 요약할 수 있습니다:
자원 절감 측면에서 DROP이 REJECT보다 낫습니다, 그리고 해킹의 진행 속도를 늦추는 것(서버에 대한 정보를 해커에게 반환하지 않기 때문); 단점은 기업의 네트워크 문제 해결을 어렵게 만들기 쉽고, DDoS 공격 시 모든 대역폭을 소진하기 쉽다는 점입니다.
|
게시됨 2016. 7. 9. 오후 10:09:05
|
|
|
