Šis raksts iepazīstinās jūs ar metodi, kā ierobežot to pašu IP savienojumu, lai novērstu CC / DDOS uzbrukumus no Iptables operētājsistēmā Linux, šī ir tikai visvairāk balstītā novēršanas metode, ja reālais uzbrukums mums joprojām ir nepieciešama aparatūra, lai to novērstu.
1. Maksimālais IP savienojumu skaits, kas savienots ar portu 80, ir 10, kurus var pielāgot un modificēt. (Maksimālais savienojums uz IP)
Pakalpojums iptables saglabāt
Pakalpojuma iptables restartēšana
Iepriekš minētie divi efekti ir vienādi, ieteicams lietot pirmo,
iptables, ugunsmūra rīks, es uzskatu, ka gandrīz visi O&M draugi to izmanto. Kā mēs visi zinām, iptables ir trīs veidi, kā apstrādāt ienākošās paketes, proti, ACCEPT, DROP, REJECT. ACCEPT ir viegli saprotams, bet kāda ir atšķirība starp REJECT un DROP? Kādu dienu es dzirdēju Serija paskaidrojumu un jutu, ka to ir viegli saprast:
"Tas ir kā melis, kas tevi zvana,kritums ir noraidīt to tieši. Ja jūs noraidāt, tas ir līdzvērtīgs tam, ka jūs zvanāt krāpniekam.”
Patiesībā daudzi cilvēki jau sen ir uzdevuši šo jautājumu par to, vai lietot DROP vai REEJECT. REJECT faktiski atgriež vēl vienu ICMP kļūdas ziņojumu paketi nekā DROP, un abām stratēģijām ir savas priekšrocības un trūkumi, kurus var apkopot šādi:
DROP ir labāks par REJECT resursu taupīšanas ziņāun palēnina uzlaušanas gaitu (jo tas neatgriež hakerim nekādu informāciju par serveri); Slikti ir tas, ka ir viegli apgrūtināt uzņēmumu tīkla problēmu novēršanu, un DDoS uzbrukuma gadījumā ir viegli izsmelt visu joslas platumu.
|
Publicēts 09.07.2016 22:09:05
|
|
|
