`
fantaxy025025
  • 浏览: 1311323 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类

iptables防DDOS攻击和CC攻击设置

 
阅读更多

 

iptables防DDOS攻击和CC攻击设置

防范DDOS攻击脚本

#防止SYN攻击 轻量级预防 
iptables -N syn-flood 
iptables -A INPUT -p tcp --syn -j syn-flood 
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN 
iptables -A syn-flood -j REJECT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

##########################################################

防范CC攻击

当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。

1.系统要求

(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。

(2)iptables版本:1.3.7

2. 安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下:

(1)控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
#默认iptables模块不包含connlimit,需要自己单独编译加载,请参考该地址
http://sookk8.blog.51cto.com/455855/280372不编译内核加载connlimit模块


(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接

 

4. 验证

(1)工具:flood_connect.c(用来模拟攻击)

(2)查看效果:

使用
watch 'netstat -an | grep:21 | grep<模拟攻击客户机的IP>| wc -l'


实时查看模拟攻击客户机建立起来的连接数,

使用
watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'


查看模拟攻击客户机被 DROP 的数据包数。

5.注意

为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent

 

本文出自 “linux进阶屋” 博客,谢绝转载!

from:http://sookk8.blog.51cto.com/455855/321242/

 

+

+

+

=

=

=

 

分享到:
评论

相关推荐

    防ddos攻击

    以下是一些在Linux系统下防止CC攻击的策略和工具: 1. **防火墙规则**:利用iptables,Linux内置的包过滤器,可以设置规则来限制特定IP或IP段的访问频率。例如,你可以创建一个规则,如果某个IP在短时间内发送过多...

    Linux主机防CC攻击的方法.pdf

    通过组合使用这些参数,可以创建一个更加安全的防火墙规则,保护 Linux 主机免受 CC 攻击和 DDoS 攻击。 Linux 主机防 CC 攻击的方法需要根据实际情况选择合适的防火墙规则和参数,并且需要小心避免内核恐慌状态...

    Nginx防攻击的调研

    CC攻击是一种利用大量合法请求占用服务器资源的攻击方式。应对措施包括: 1. **封禁IP地址**:对连接数异常的IP进行封锁,可以通过在`blockip.conf`中添加IP,或使用iptables直接屏蔽。 2. **特征码屏蔽**:根据请求...

    宝塔Linux面板开启CC防护

    随着互联网的快速发展,网站的安全问题日益凸显,其中CC攻击(Challenge Collapsar)成为一种常见的DDoS攻击方式,它通过大量合法请求占用服务器资源,导致服务无法正常响应。对于使用宝塔Linux面板的用户来说,了解...

    通过iptables限制sftp端口连接数(运维笔记)

    本文档详细介绍了通过iptables限制sftp端口连接数的运维操作方法,以及预防CC/DDOS攻击的设置措施.在此分享,希望能帮助到有用到的朋友!

    服务器安全狗Linux版

    服务器安全狗Linux版V2.0(SafeDog for Linux Server)是为Linux服务器开发的一款服务器管理软件,它集成了DDOS攻击检测和防御系统、流量统计、帐户监控和设置、登录监控、系统参数快速设置、系统运行状态直观展示、...

    服务器安全狗linux版V2.0(V2.0.00634)

    服务器安全狗Linux版(SafeDog for Linux Server)是为Linux服务器开发的一款服务器管理软件,它集成了DDOS攻击检测和防御系统、流量统计、帐户监控和设置、登录监控、系统参数快速设置、系统运行状态直观展示、系统...

Global site tag (gtag.js) - Google Analytics