iptables缓解ddos攻击

1.限制与80端口连接的IP最大连接数为10

1	sudo iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

#这条命令一上，DDOS攻击立马降下去了,但网站还是不能立马访问,打开很慢.

2. 60秒10个新连接，超过记录日志

1	sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options

3. 60秒10个新连接，超过丢弃数据包

1	sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP

4.范围内允许通过

1	sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT

5.查看iptables

1	tail -n 10 /var/log/kern.log \|grep DDOS:

*注意：日志文件会很大

以上规则一配置，很快DDOS攻击慢慢对网站不影响了
*注意：慎用. 不一定适合所有场合，有可能会导致web功能异常. 特别是网页程序很多链接资源的.

(责任编辑：IT)