Šis straipsnis supažindins jus su to paties IP ryšio apribojimo metodu, kad būtų išvengta CC/DDOS atakų iš "Iptables" sistemoje "Linux", tai tik labiausiai pagrįstas prevencijos metodas, jei tikroji ataka mums vis tiek reikia aparatinės įrangos, kad jos išvengtume.
1. Maksimalus IP jungčių, prijungtų prie 80 prievado, skaičius yra 10, kurį galima pritaikyti ir modifikuoti. (Maksimalus ryšys vienam IP)
Paslaugos iptables išsaugoti
Paslaugos iptables paleidimas iš naujo
Minėti du poveikiai yra vienodi, rekomenduojama naudoti pirmąjį,
iptables, ugniasienės įrankis, manau, kad beveik visi O&M draugai juo naudojasi. Kaip visi žinome, iptables turi tris būdus, kaip tvarkyti gaunamus paketus, būtent ACCEPT, DROP, REJECT. ACCEPT yra lengvai suprantama, bet kuo skiriasi REJECT ir DROP? Vieną dieną išgirdau Sery paaiškinimą ir pajutau, kad jį lengva suprasti:
"Tai tarsi melagis, kuris tave vadina,lašas yra atmesti jį tiesiogiai. Jei atmetate, tai prilygsta tam, kad perskambintumėte sukčiui.”
Tiesą sakant, daugelis žmonių jau seniai uždavė šį klausimą apie tai, ar naudoti DROP ar REEJECT. REJECT iš tikrųjų grąžina dar vieną ICMP klaidų pranešimų paketą nei DROP, ir abi strategijos turi savų privalumų ir trūkumų, kuriuos galima apibendrinti taip:
DROP yra geresnis nei REJECT išteklių taupymo požiūriuir sulėtina įsilaužimo eigą (nes įsilaužėliui negrąžina jokios informacijos apie serverį); Blogai tai, kad lengva apsunkinti įmonių tinklo problemų šalinimą, o DDoS atakos atveju lengva išnaudoti visą pralaidumą.
|
Paskelbta 2016-07-09 22:09:05
|
|
|
