缓解DDOS攻击
防止SYN攻击,轻量级预防
1 | iptables -N syn-floodiptables -A INPUT -p tcp –syn -j syn-floodiptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURNiptables -A syn-flood -j REJECT |
1 | iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROPiptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT |
用Iptables缓解DDOS (参数与上相同)
1 | iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPTiptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT |
缓解CC攻击
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,自动屏蔽攻击IP。
示例如下:
控制单个IP的最大并发连接数
1 | iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 25 -j REJECT #允许单个IP的最大连接数为25个 |
早期iptables模块不包含connlimit,需要自己单独编译加载,请参考该地址http://sookk8.blog.51cto.com/455855/280372 不编译内核加载connlimit模块
控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
1 | iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECTiptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT |
单个IP在60秒内只允许最多新建30个连接
实时查看模拟攻击客户机建立起来的连接数
1 | watch 'netstat -an | grep:21 | grep <攻击IP>| wc -l |
查看模拟攻击客户机被 DROP 的数据包数
1 | watch 'iptables -L -n -v | grep <攻击IP> |