欢迎您,零度科技专业海外服务器租用
公司电话: 24小时电话: 

当前位置:首页>新闻动态>网络安全

目录导航

Linux使用iptables connlimit和recent模块防CC攻击

香港高防(5G)机房 发布于 2014-12-30  

网络安全

iptables是很强大的防火墙工具,善用Iptables可以为服务器的安全护航更上一层楼
限制连接到80或者443端口的IP最大连接数为 10:
iptables -A INPUT -p tcp -m multiport --dport 80,443 -m connlimit --connlimit-above 10 -j DROP

multiport :多端口模块:以逗号分隔

connlimit模块:限制每个客户端IP的并发连接数模块
-connlimit-above n:限制数 >n 时触发规则
-connlimit-upto n:限制数在 n 范围内触发规则
-connlimit-mask :限制主机的掩码默认:32,没用过这个
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT

recent模块:

--syn 跟 -m state --state NEW差不多一个意思,三次握手中的第一个包
--name #设定列表名称,默认DEFAULT。
--rsource #源地址,此为默认。
--rdest #目的地址
--seconds #指定时间内
--hitcount #命中次数
--set #将地址添加进列表,并更新信息,包含地址加入的时间戳。
--rcheck #检查地址是否在列表,以第一个匹配开始计算时间。
--update #和rcheck类似,以最后一个匹配计算时间。
--remove  #在列表里删除相应地址,后跟列表名称及地址。
值得注意的是,有些人不知道这两模块为什么在自己机器上不能使用。总是报一些莫名其妙的错误
其实很简单的,是因为内核与iptables的版本低了而已,升级内核与iptables的版本就可以了的

到零度科技查看原文:http://www.ldisp.com/a/safe/2014/connlimit-recent.shtml

上一篇:突破SecureRDP对远程桌面连接的限制
下一篇:取代cookie的网站追踪技术:”帆布指纹识别”初探

 
了解零度?

零度科技主营全球服务器租用,如果您有服务器租用需求请联系

海外服务器租用

推荐香港、美国、韩国。提供站群服务器、高防服务器租用

海外特价服务器

关注零度特价服务器频道,了解全球特价服务器。

2

业务咨询

    技术服务

      特价活动
        全站搜索
        热门搜索:
        会员
        0通知
        客服
        0特价
        搜索
        TOP
        香港高防服务器,远程桌面,韩国服务器,nginx,反向代理