iptables缓解ddos攻击
时间:2014-12-10 23:51 来源:www.it.net.cn 作者:IT网
iptables缓解ddos攻击
1.限制与80端口连接的IP最大连接数为10
1
sudo iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
#这条命令一上,DDOS攻击立马降下去了,但网站还是不能立马访问,打开很慢.
2. 60秒10个新连接,超过记录日志
1
sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
3. 60秒10个新连接,超过丢弃数据包
1
sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
4.范围内允许通过
1
sudo iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
5.查看iptables
1
tail -n 10 /var/log/kern.log |grep DDOS:
*注意: 日志文件会很大
以上规则一配置,很快DDOS攻击慢慢 对网站不影响了
*注意: 慎用. 不一定适合所有场合,有可能会导致web功能异常. 特别是网页程序很多链接资源的.
(责任编辑:IT)
iptables缓解ddos攻击 1.限制与80端口连接的IP最大连接数为10
#这条命令一上,DDOS攻击立马降下去了,但网站还是不能立马访问,打开很慢. 2. 60秒10个新连接,超过记录日志
3. 60秒10个新连接,超过丢弃数据包
4.范围内允许通过
5.查看iptables
*注意: 日志文件会很大
以上规则一配置,很快DDOS攻击慢慢 对网站不影响了 |