防御CC攻击，交流

春天的季节

通过对linux美国服务器下的自带防火墙iptables进行设置可以实现一定程度上防御CC攻击，
天信网络在此具体讲解下实现方式：
首先 开启iptables
service iptables start
此指令仅能一次性开启防火墙，重启后复原

开启防火墙后
配置防火墙的配置文件/etc/sysconfig/iptables

首先配置不被防火墙拦截的端口
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

此处为默认22端口和80端口访问为放行

22为SSH默认连接端口 80为WEB端口

然后 对于80端口的访问设置单个IP最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT

此处设置单个IP的最大并发访问连接数为50 超出50个连接数被自动屏蔽


另外
设置单个IP在规定时间区间内的最大新建连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount

30 -j REJECT

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

此处设置的单个IP在60秒周期内最大新建30个连接 超出数量后被自动拒绝


在完成配置后 对iptables防火墙配置进行保存并重启防火墙
service iptables save
service iptables restart

完成所有操作后 将防火墙设置为永久性开启

chkconfig iptables on


如果在配置中发生错误请安装内核程序
kernel-smp-modules-connlimit

wys7412

学习了，感谢分享，