Dit artikel introduceert je in de methode om dezelfde IP-verbinding te beperken om CC/DDOS-aanvallen van Iptables in Linux te voorkomen; dit is slechts de meest gefundeerde preventiemethode; als het echt een aanval is, hebben we nog steeds hardware nodig om het te voorkomen.
1. Het maximale aantal IP-verbindingen dat op poort 80 is aangesloten is 10, die kunnen worden aangepast en aangepast. (Maximale verbinding per IP)
Service iptables opslaan
Service iptables restart
De bovenstaande twee effecten zijn hetzelfde, het wordt aanbevolen om de eerste te gebruiken,
iptables, een firewalltool, ik geloof dat bijna alle O&M-vrienden het gebruiken. Zoals we allemaal weten, heeft iptables drie manieren om binnenkomende pakketten te verwerken, namelijk ACCEPTEREN, LATEN VALLEN, AFWIJZEN. ACCEPTEREN is makkelijk te begrijpen, maar wat is het verschil tussen REJECT en DROP? Op een dag hoorde ik Sery's uitleg en vond ik het makkelijk te begrijpen:
"Het is alsof een leugenaar je roept,Laten vallen is om het direct af te wijzen. Als je weigert, is dat gelijk aan het terugbellen van de oplichter.”
Sterker nog, veel mensen stellen deze vraag al lang over het gebruik van DROP of REJECT. REJECT levert eigenlijk één ICMP-foutberichtpakket meer dan DROP, en de twee strategieën hebben hun eigen voor- en nadelen, die als volgt kunnen worden samengevat:
DROP is beter dan REJECT wat betreft resourcebesparing, en vertraagt de voortgang van de hack (omdat er geen informatie over de server aan de hacker wordt teruggegeven); Het nadeel is dat het gemakkelijk is om netwerkproblemen van ondernemingen moeilijk op te lossen, en het is gemakkelijk om alle bandbreedte uit te putten bij een DDoS-aanval.
|
Geplaatst op 09-07-2016 22:09:05
|
|
|
