|
本文章来给大家介绍linux中Iptables限制同一IP连接数防CC/DDOS攻击方法,这个只是最基于的防止方法,如果真正的攻击我们还是需要硬件耿防止哦。
1.限制与80端口连接的IP最大连接数为10,可自定义修改。(每个IP的最大连接)
service iptables save 保存
service iptables restart 重启
上面两个效果都一样,推荐使用第一个,
iptables这个防火墙工具,相信运维朋友们几乎都在使用。大家都知道iptables对于进来的信息包有三种处理方法,那就是ACCEPT、DROP、REJECT。ACCEPT很容易理解,而REJECT和DROP的区别是什么?某天听到Sery的解释,感觉说的很容易理解:
“就好象骗子给你打电话,drop就是直接拒收。reject的话,相当于你还给骗子回个电话。”
其实对于到底是使用DROP还是REJECT,从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包,两个策略各有优劣,简单总结如下:
DROP比REJECT好在节省资源,而且延缓黑客攻击的进度(因为不会给黑客返回任何有关服务器的信息);坏在容易让企业的网络问题难以排查,而且在DDoS攻击的情况容易耗尽所有的带宽。
|
上一篇:使用360网站卫士TTFB时间过长下一篇:写给攻击网站的您,没意思!
|