Ta članek vas bo seznanil z metodo omejevanja iste IP povezave za preprečevanje CC/DDOS napadov s strani Iptables na Linuxu; to je le najbolj utemeljena metoda preprečevanja; če gre za pravi napad, še vedno potrebujemo strojno opremo, da ga preprečimo.
1. Največje število IP povezav, povezanih na priključek 80, je 10, ki jih je mogoče prilagoditi in spremeniti. (Največja povezava na IP)
Service IPTABLES shranjevanje
Ponovni zagon storitve iptables
Zgornja dva učinka sta enaka, priporočljivo je uporabiti prvega,
iptables, orodje za požarni zid, verjamem, da ga uporablja skoraj vsi O&M prijatelji. Kot vsi vemo, ima iptables tri načine za obravnavo dohodnih paketov: SPREJMI, SPUSTI, ZAVRNI. ACCEPT je enostavno razumeti, ampak kakšna je razlika med ZAVRNI in ODPUSTI? Nekega dne sem slišal Seryjevo razlago in se mi zdelo, da je enostavno razumeti:
"To je kot lažnivec, ki te kliče,Drop pomeni, da ga neposredno zavrneš. Če zavrnete, je to enako, kot da pokličete prevaranta nazaj.”
Pravzaprav si je že dolgo ljudi zastavljalo to vprašanje, ali uporabiti DROP ali REJECT. REJECT dejansko vrne en paket ICMP sporočil o napakah več kot DROP, pri čemer imata obe strategiji svoje prednosti in slabosti, ki jih lahko povzamemo takole:
DROP je boljši od REJECT glede prihrankov virov, in upočasnitev napredovanja vdora (ker hekerju ne vrne nobenih informacij o strežniku); Slaba stran je, da je enostavno otežiti odpravljanje omrežnih težav podjetij in enostavno izčrpati vso pasovno širino v primeru DDoS napada.
|
Objavljeno na 9. 07. 2016 22:09:05
|
|
|
