Ця стаття познайомить вас із методом обмеження одного й того ж IP-з'єднання, щоб запобігти CC/DDOS-атакам від Iptables у Linux, це лише найосновніший метод запобігання, якщо справжня атака, нам все одно потрібне апаратне забезпечення для її запобігання.
1. Максимальна кількість IP-з'єднань, підключених до порту 80, становить 10, які можна налаштовувати та змінювати. (Максимальне з'єднання на IP)
Збереження сервісу iptables
Сервіс iptables перезапуск
Вищезазначені два ефекти схожі, рекомендується використовувати перший,
iptables — це інструмент міжмережевого екрану, здається, майже всі друзі O&M його використовують. Як усім відомо, iptables має три способи обробки вхідних пакетів: ACCEPT, DROP, REJECT. ACCEPT легко зрозуміти, але в чому різниця між REJECT і DROP? Одного дня я почула пояснення Сері і відчула, що це легко зрозуміти:
"Це як брехун, що кличе тебе,Drop означає відкинути його безпосередньо. Якщо ви відмовляєте, це рівнозначно тому, що ви дзвоните шахраю.”
Насправді багато хто ставив це питання вже давно: чи варто використовувати DROP чи REJECT. REJECT фактично повертає ще один пакет повідомлень про помилку ICMP, ніж DROP, і ці дві стратегії мають свої переваги та недоліки, які можна підсумувати так:
DROP кращий за REJECT з точки зору економії ресурсів, і уповільнення прогресу злому (оскільки він не повертає жодної інформації про сервер хакеру); Мінус у тому, що легко ускладнити діагностику мережевих проблем підприємств, і легко вичерпати всю пропускну здатність у разі DDoS-атаки.
|
Опубліковано 09.07.2016 22:09:05
|
|
|
