Den här artikeln kommer att introducera dig till metoden att begränsa samma IP-anslutning för att förhindra CC/DDOS-attacker från Iptables i Linux, detta är bara den mest baserade förebyggande metoden, om det är en verklig attack behöver vi fortfarande hårdvara för att förhindra den.
1. Det maximala antalet IP-anslutningar anslutna till port 80 är 10, vilket kan anpassas och modifieras. (Maximal anslutning per IP)
Service iptables spar
Service IPTABLES restart
De två ovanstående effekterna är desamma, det rekommenderas att använda den första,
iptables, ett brandväggsverktyg, jag tror att nästan alla O&M-vänner använder det. Som vi alla vet har iptables tre sätt att hantera inkommande paket, nämligen ACCEPT, DROP, REJECT. ACCEPTERA är lätt att förstå, men vad är skillnaden mellan REJECT och DROP? En dag hörde jag Serys förklaring och kände att den var lätt att förstå:
"Det är som en lögnare som ropar på dig,Att avvisa det är att avvisa det direkt. Om du avvisar är det som att du ringer tillbaka bedragaren.”
Faktum är att många har ställt den här frågan sedan länge om huruvida man ska använda DROP eller REJECT. REJECT returnerar faktiskt ett ICMP-felmeddelandepaket mer än DROP, och de två strategierna har sina egna fördelar och nackdelar, vilka kan sammanfattas enligt följande:
DROP är bättre än REJECT när det gäller resursbesparingar, och saktar ner hackets framsteg (eftersom det inte returnerar någon information om servern till hackaren); Det dåliga är att det är lätt att göra det svårt att felsöka nätverksproblem hos företag, och det är lätt att förbruka all bandbredd vid en DDoS-attack.
|
Publicerad på 2016-07-09 22:09:05
|
|
|
