|
应用一:防轻量级DDOS攻击 sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null #通过syncookie实现抵御轻量级预防 DOS 攻击。 应用二:控制TCP连接时间 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null # 设置默认 TCP 连接生存时长为 3800 秒,这样可以有效的控制tcp的连接数。 应用三:控制TCP最大连接数 sysctl -w net.ipv4.ip_conntrack_max=300 &>/dev/null # 设置支持最大连接数为300,具体数量的大小决定于iptables的版本和系统的内存。 应用四:防三次握手攻击 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -A syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #这四条命令,可以防止一般的“三次握手”攻击 应用五:控制ip碎片 iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT # 对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片 应用六:控制ping iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT # icmp包通过的控制,防止icmp黑客攻击 应用七:控制TCP包 iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j LOG –log-prefix “New not syn:” iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP # 丢弃无效的TCP包 (责任编辑:IT) |