全球主机交流论坛

标题: 防御CC攻击，交流 [打印本页]

作者: 春天的季节 时间: 2015-4-15 13:29
标题: 防御CC攻击，交流
通过对linux美国服务器下的自带防火墙iptables进行设置可以实现一定程度上防御CC攻击，
天信网络在此具体讲解下实现方式：
首先开启iptables
service iptables start
此指令仅能一次性开启防火墙，重启后复原

开启防火墙后
配置防火墙的配置文件/etc/sysconfig/iptables

首先配置不被防火墙拦截的端口
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

此处为默认22端口和80端口访问为放行

22为SSH默认连接端口 80为WEB端口

然后对于80端口的访问设置单个IP最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT

此处设置单个IP的最大并发访问连接数为50 超出50个连接数被自动屏蔽

另外
设置单个IP在规定时间区间内的最大新建连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount

30 -j REJECT

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

此处设置的单个IP在60秒周期内最大新建30个连接超出数量后被自动拒绝

在完成配置后对iptables防火墙配置进行保存并重启防火墙
service iptables save
service iptables restart

完成所有操作后将防火墙设置为永久性开启

chkconfig iptables on

如果在配置中发生错误请安装内核程序
kernel-smp-modules-connlimit

作者: wys7412 时间: 2015-4-15 13:38

学习了，感谢分享，

欢迎光临全球主机交流论坛 (http://bbs.cuwww.com/)