В этой статье вы познакомите вас с методом ограничения одного и того же IP-соединения, чтобы предотвратить атаки CC/DDOS от Iptables в Linux, это только самый обоснованный метод предотвращения, если настоящая атака — нам всё равно нужно оборудование для её предотвращения.
1. Максимальное количество IP-соединений, подключённых к порту 80, составляет 10, которые можно настраивать и изменять. (Максимальное соединение на IP)
сервис iptables save
сервис iptables перезапуск
Два вышеуказанных эффекта одинаковы, рекомендуется использовать первый,
iptables — это инструмент файрвола, я считаю, что почти все друзья O&M им пользуются. Как всем известно, у iptables есть три способа обработки входящих пакетов: ПРИНЯТЬ, ОТКЛОНИТЬ, ОТКЛОНИТЬ. ACCEPT легко понять, но в чём разница между REJECT и DROP? Однажды я услышал объяснение Сери и почувствовал, что это легко понять:
«Это как лжец, который зовёт тебя,Drop — это прямое отвержение. Если вы отклоните, это равносильно тому, что вы перезвоните мошеннику.”
На самом деле, многие задаются этим вопросом уже давно, стоит ли использовать DROP или REJECT. REJECT фактически возвращает на один пакет сообщений об ошибке ICMP больше, чем DROP, и обе стратегии имеют свои плюсы и недостатки, которые можно обобщить следующим образом:
DROP лучше REJECT с точки зрения экономии ресурсов, и замедление продвижения взлома (поскольку он не возвращает никакой информации о сервере хакеру); Минус в том, что легко затруднить диагностику сетевых проблем предприятий, и легко исчерпать всю пропускную способность в случае DDoS-атаки.
|
Опубликовано 09.07.2016 22:09:05
|
|
|
