linux中Iptables限制同一IP连接数防CC攻击

小渣渣

本文章来给大家介绍linux中Iptables限制同一IP连接数防CC/DDOS攻击方法,这个只是最基于的防止方法，如果真正的攻击我们还是需要硬件耿防止哦。
1.限制与80端口连接的IP最大连接数为10，可自定义修改。（每个IP的最大连接）

登录可见。

service   iptables save  保存
service   iptables restart  重启


上面两个效果都一样，推荐使用第一个，


iptables这个防火墙工具，相信运维朋友们几乎都在使用。大家都知道iptables对于进来的信息包有三种处理方法，那就是ACCEPT、DROP、REJECT。ACCEPT很容易理解，而REJECT和DROP的区别是什么？某天听到Sery的解释，感觉说的很容易理解：

“就好象骗子给你打电话，drop就是直接拒收。reject的话，相当于你还给骗子回个电话。”

其实对于到底是使用DROP还是REJECT，从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包，两个策略各有优劣，简单总结如下：

DROP比REJECT好在节省资源，而且延缓黑客攻击的进度（因为不会给黑客返回任何有关服务器的信息）；坏在容易让企业的网络问题难以排查，而且在DDoS攻击的情况容易耗尽所有的带宽。