Linux CentOS iptables防攻击最新指南
时间:2016-02-23 16:57 来源:linux.it.net.cn 作者:IT
应用一:防轻量级DDOS攻击
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#通过syncookie实现抵御轻量级预防 DOS 攻击。
应用二:控制TCP连接时间
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
# 设置默认 TCP 连接生存时长为 3800 秒,这样可以有效的控制tcp的连接数。
应用三:控制TCP最大连接数
sysctl -w net.ipv4.ip_conntrack_max=300 &>/dev/null
# 设置支持最大连接数为300,具体数量的大小决定于iptables的版本和系统的内存。
应用四:防三次握手攻击
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -A syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#这四条命令,可以防止一般的“三次握手”攻击
应用五:控制ip碎片
iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
# 对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片
应用六:控制ping
iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
# icmp包通过的控制,防止icmp黑客攻击
应用七:控制TCP包
iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j LOG –log-prefix “New not syn:”
iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
# 丢弃无效的TCP包 (责任编辑:IT)
应用一:防轻量级DDOS攻击 sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null #通过syncookie实现抵御轻量级预防 DOS 攻击。 应用二:控制TCP连接时间 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null # 设置默认 TCP 连接生存时长为 3800 秒,这样可以有效的控制tcp的连接数。 应用三:控制TCP最大连接数 sysctl -w net.ipv4.ip_conntrack_max=300 &>/dev/null # 设置支持最大连接数为300,具体数量的大小决定于iptables的版本和系统的内存。 应用四:防三次握手攻击 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -A syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #这四条命令,可以防止一般的“三次握手”攻击 应用五:控制ip碎片 iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT # 对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片 应用六:控制ping iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT # icmp包通过的控制,防止icmp黑客攻击 应用七:控制TCP包 iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j LOG –log-prefix “New not syn:” iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP # 丢弃无效的TCP包 (责任编辑:IT) |