|
|
Opublikowano 09.07.2016 22:09:05
|
|
|
Ten artykuł przedstawi Ci metodę ograniczania tego samego połączenia IP, aby zapobiec atakom CC/DDOS ze strony Iptables na Linuksie; jest to tylko najbardziej podstawowa metoda zapobiegania, a jeśli to prawdziwy atak, nadal potrzebujemy sprzętu, by go powstrzymać.
1. Maksymalna liczba połączeń IP podłączonych do portu 80 wynosi 10, co można dostosować i zmodyfikować. (Maksymalne połączenie na IP)
save service iptables
Restart obsługi IPTable
Powyższe dwa efekty są takie same, zaleca się stosowanie pierwszego,
iptables, narzędzie firewall, wierzę, że prawie wszyscy znajomi O&M go używają. Jak wszyscy wiemy, iptables ma trzy sposoby obsługi przychodzących pakietów: ACCEPT, DROP I REJECT. ACCEPT jest łatwe do zrozumienia, ale jaka jest różnica między REJECT a QUIT? Pewnego dnia usłyszałem wyjaśnienie Sery'ego i uznałem, że jest to łatwe do zrozumienia:
"To jak kłamca, który cię woła,drop to odrzucenie go bezpośrednio. Jeśli odrzucisz, to tak, jakbyś oddzwonił do oszusta.”
W rzeczywistości wiele osób od dawna zadawało sobie pytanie, czy używać DROP czy REJECT. REJECT zwraca o jeden pakiet komunikatów błędów ICMP więcej niż DROP, a obie strategie mają swoje zalety i wady, które można podsumować następująco:
DROP jest lepszy niż REJECT pod względem oszczędności zasobów, oraz spowalniającym postęp włamania (ponieważ nie zwraca on żadnych informacji o serwerze do hakera); Minusem jest to, że łatwo utrudnić rozwiązywanie problemów sieciowych przedsiębiorstw i łatwo jest wyczerpać całą przepustowość w przypadku ataku DDoS.
|
Poprzedni:Zbyt długo używanie Website Defender TTFB na 360Następny:Pisz do tych, którzy atakują stronę, jest nudna!
|
