Denne artikkelen vil introdusere deg for metoden for å begrense samme IP-tilkobling for å forhindre CC/DDOS-angrep fra Iptables i Linux, dette er bare den mest baserte forebyggingsmetoden, og hvis det egentlige angrepet er, trenger vi fortsatt maskinvare for å forhindre det.
1. Maksimalt antall IP-tilkoblinger koblet til port 80 er 10, som kan tilpasses og modifiseres. (Maksimal tilkobling per IP)
Tjeneste iptables lagre
Service iptables restart
De to ovennevnte effektene er de samme, det anbefales å bruke den første,
iptables, et brannmurverktøy, jeg tror nesten alle O&M-venner bruker det. Som vi alle vet, har iptables tre måter å håndtere innkommende pakker på, nemlig AKSEPT, SLIPP, AVVIS. AKSEPTER er lett å forstå, men hva er forskjellen på AVVISNING og DROPP? En dag hørte jeg Serys forklaring og følte at den var lett å forstå:
"Det er som en løgner som roper på deg,Dropp er å avvise det direkte. Hvis du avslås, tilsvarer det at du ringer tilbake svindleren.”
Faktisk har mange stilt dette spørsmålet lenge om man skal bruke DROP eller REJECT. REJECT returnerer faktisk én ICMP-feilmeldingspakke mer enn DROP, og de to strategiene har sine egne fordeler og ulemper, som kan oppsummeres slik:
DROP er bedre enn REJECT når det gjelder ressursbesparelser, og bremser fremdriften av hacket (fordi det ikke returnerer noen informasjon om serveren til hackeren); Det negative er at det er lett å gjøre det vanskelig å feilsøke nettverksproblemer i bedrifter, og det er lett å bruke opp all båndbredde ved et DDoS-angrep.
|
Publisert på 09.07.2016 22:09:05
|
|
|
