Este artigo vai te apresentar o método de restringir a mesma conexão IP para evitar ataques CC/DDOS de Iptables no Linux; esse é apenas o método de prevenção mais baseado; se for o ataque real, ainda precisamos de hardware para preveni-lo.
1. O número máximo de conexões IP conectadas à porta 80 é 10, que pode ser personalizada e modificada. (Conexão máxima por IP)
serviço iptables salvar
reiniciar o service iptables
Os dois efeitos acima são os mesmos, recomenda-se usar o primeiro,
iptables, uma ferramenta de firewall, acredito que quase todos os amigos da O&M usam. Como todos sabemos, o iptables tem três formas de lidar com pacotes recebidos, a saber: ACCEPT, DROP, REJECT. ACEITAR é fácil de entender, mas qual é a diferença entre REJEITAR e DESISTIR? Um dia ouvi a explicação de Sery e achei fácil de entender:
"É como se um mentiroso te chamasse,Drop é rejeitá-lo diretamente. Se você rejeitar, é equivalente a você ligar de volta para o golpista.”
Na verdade, muitas pessoas já fazem essa pergunta há muito tempo sobre se devem usar DROP ou REJECT. Na verdade, o REJECT retorna um pacote de mensagem de erro ICMP a mais do que o DROP, e as duas estratégias têm suas próprias vantagens e desvantagens, que podem ser resumidas da seguinte forma:
DROP é melhor que REJECT em termos de economia de recursos, e retardando o progresso do hack (porque não retorna nenhuma informação sobre o servidor ao hacker); O problema é que é fácil dificultar a resolução de problemas de rede das empresas, e é fácil esgotar toda a largura de banda em caso de ataque DDoS.
|
Publicado em 09/07/2016 22:09:05
|
|
|
