Bu makale, Linux'ta Iptable'lardan CC/DDOS saldırılarını önlemek için aynı IP bağlantısını kısıtlama yöntemini tanıtacak, bu sadece en temel önleme yöntemidir, gerçek saldırı ise bunu önlemek için donanıma ihtiyacımız var.
1. Port 80'e bağlı maksimum IP bağlantısı sayısı 10'dur ve bu bağlantı özelleştirilebilir ve değiştirilebilir. (IP başına maksimum bağlantı)
Service iptables kaydı
Service iptables restart
Yukarıdaki iki etki aynıdır, ilkini kullanmak önerilir,
iptables, bir güvenlik duvarı aracı, sanırım neredeyse tüm O&M arkadaşlarım onu kullanıyor. Hepimizin bildiği gibi, iptables'ın gelen paketleri işlemenin üç yolu var: KABUL ET, BIRAK, REDDED. KABUL ETMEK anlaşılması kolaydır, ama REDDETMEK ile DÜŞÜR arasındaki fark nedir? Bir gün Sery'nin açıklamasını duydum ve anlamanın kolay olduğunu hissettim:
"Sanki bir yalancı seni çağırıyor,Drop, doğrudan reddetmektir. Reddederseniz, dolandırıcıyı geri aramanız eşdeğerdir.”
Aslında, birçok kişi uzun zamandır DROP veya REJECT mi kullanılacağı konusunda bu soruyu soruyor. REJECT aslında DROP'tan bir fazla ICMP hata mesajı paketi döndürür ve bu iki stratejinin kendi avantajları ve dezavantajları vardır; bunlar şu şekilde özetlenebilir:
DROP, kaynak tasarrufu açısından REDD'ten daha iyidir, ve hacklemenin ilerlemesini yavaşlatıyor (çünkü sunucu hakkında hacker'a herhangi bir bilgi geri döndürülmez); Kötü yanı ise, işletmelerin ağ sorunlarını kolayca çözmenin zor olması ve bir DDoS saldırısı durumunda tüm bant genişliğini tüketmenin kolay olmasıdır.
|
Yayınlandı 9.07.2016 22:09:05
|
|
|
