linux抵御DDOS攻击 通过iptables限制TCP连接和频率
linux  /  管理员 发布于 6年前   125
cc攻击一到就有点兵临城下的感觉,正确的设置防护规则可以做到临危不乱,这里给出一个iptables对ip进行连接频率和并发限制,限制单ip连接和频率的设置规则的介绍
#单个IP在60秒内只允许新建20个连接,这里假设web端口就是80,
复制代码 代码如下:
iptables -I INPUT -i eth1 -p tcp -m tcp Cdport 80 -m state Cstate NEW -m recent Cupdate Cseconds 60 Chitcount 20 Cname DEFAULT Crsource -j DROP
iptables -I INPUT -i eth1 -p tcp -m tcp Cdport 80 -m state Cstate NEW -m recent Cset Cname DEFAULT Crsource
#控制单个IP的最大并发连接数为20
复制代码 代码如下:
iptables -I INPUT -p tcp Cdport 80 -m connlimit Cconnlimit-above 20 -j REJECT
#每个IP最多20个初始连接
复制代码 代码如下:
iptables -I INPUT -p tcp Csyn -m connlimit Cconnlimit-above 20 -j DROP
参数解释:
-p协议
-m module_name:
-m tcp 的意思是使用 tcp 扩展模块的功能 (tcp扩展模块提供了 Cdport, Ctcp-flags, Csync等功能)
recent模块:
Cname #设定列表名称,默认DEFAULT。
Crsource #源地址,此为默认。
Crdest #目的地址
Cseconds #指定时间内
Chitcount #命中次数
Cset #将地址添加进列表,并更新信息,包含地址加入的时间戳。
Crcheck #检查地址是否在列表,以第一个匹配开始计算时间。
Cupdate #和rcheck类似,以最后一个匹配计算时间。
Cremove #在列表里删除相应地址,后跟列表名称及地址
connlimit功能:
connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。
connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。
Cconnlimit-above n #限制为多少个
Cconnlimit-mask n #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.
原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..路人 在
php中使用hyperf框架调用讯飞星火大模型实现国内版chatgpt功能示例中评论 教程很详细,如果加个前端chatgpt对话页面就完美了..博主 在
科学上网翻墙之v2rayN-Core客户端免费公益节点使用教程中评论 @ mashrdn 多切换几个节点测试,免费ssr是没那么稳..Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号