Acest articol vă va introduce în metoda de restricționare a aceleiași conexiuni IP pentru a preveni atacurile CC/DDOS de la Iptables în Linux; aceasta este doar cea mai bazată metodă de prevenție; dacă este un atac real, tot avem nevoie de hardware pentru a-l preveni.
1. Numărul maxim de conexiuni IP conectate la portul 80 este 10, care pot fi personalizate și modificate. (Conexiune maximă pe IP)
service iptables salvează
repornirea serviceiptables
Cele două efecte de mai sus sunt aceleași, se recomandă folosirea primului,
iptables, un instrument de firewall, cred că aproape toți prietenii de la O&M îl folosesc. După cum știm cu toții, iptables are trei moduri de a gestiona pachetele primite, și anume ACCEPT, DROP, REJECT. ACCEPT este ușor de înțeles, dar care este diferența dintre REJECT și DROP? Într-o zi am auzit explicația lui Sery și am simțit că este ușor de înțeles:
"E ca și cum un mincinos te-ar striga,Drop înseamnă să o respingi direct. Dacă refuzi, este echivalent cu a suna înapoi escrocul.”
De fapt, mulți oameni au pus această întrebare de mult timp dacă să folosească DROP sau REJECT. REJECT returnează de fapt un pachet de mesaje de eroare ICMP în plus față de DROP, iar cele două strategii au propriile avantaje și dezavantaje, care pot fi rezumate astfel:
DROP este mai bun decât REJECT în ceea ce privește economiile de resurse, și încetinirea progresului hack-ului (deoarece nu returnează nicio informație despre server hackerului); Partea negativă este că este ușor să faci dificilă rezolvarea problemelor de rețea ale companiilor și este ușor să epuizezi toată lățimea de bandă în cazul unui atac DDoS.
|
Postat pe 09.07.2016 22:09:05
|
|
|
