linux中利用防火墙配置防SYN DDOS和CC攻击方法(1/2)

 代码如下 复制代码

#防止SYN攻击 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

##########################################################

Linux减缓CC攻击

CC攻击可算是最郁闷的攻击了,硬防防不住,软防防不来。 不过用linux自带的iptables却可以减缓CC攻击

首先安装iptables

apt-get install iptables

然后设置规则

iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 10 -j DROP

10就是一个IP只允许开10线程,否则丢包

如果DDOS量比较大,就改成5啊 3啊之类的,。。

太小会影响速度

之后iptables-save > /etc/noddos

然后在/etc/rc.local里

输入iptables-restore /etc/noddos

下面是补充

防范DDOS攻击脚本
 

 代码如下 复制代码
#防止SYN攻击 轻量级预防  
iptables -N syn-flood   (如果您的防火墙默认配置有“ :syn-flood – [0:0] ”则不许要该项,因为重复了)
iptables -A INPUT -p tcp –syn -j syn-flood  
iptables -I syn-flood -p tcp -m limit
–limit 3/s –limit-burst 6
-j RETURN  
iptables -A syn-flood -j REJECT  
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃  
iptables -A INPUT -i eth0 -p tcp –syn-m connlimit
–connlimit-above 15 -j DROP  
iptables -A INPUT -p tcp-m state
–state ESTABLISHED,RELATED -j ACCEPT 
 
#用Iptables抵御DDOS (参数与上相同)  
iptables -A INPUT  -p tcp –syn -m limit –limit 12/s
–limit-burst 24 -j ACCEPT 
iptables -A FORWARD -p tcp –syn -m limit
–limit 1/s -j ACCEPT 
##########################################################  
或者直接在防火墙iptables文件内添加如下信息:#部分为注释信息
 
-N syn-flood (如果您的防火墙默认配置有“ :syn-flood – [0:0] ”则不许要该项,因为重复了 )
-A INPUT -p tcp –syn -j syn-flood
-I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
-A syn-flood -j REJECT
#DDOS one ip of 15 link
-A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
-A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT  -p tcp –syn -m limit –limit 12/s –limit-burst 24 -j ACCEPT
-A FORWARD -p tcp –syn -m limit –limit 1/s -j ACCEPT

 
白名单设置:
有时候默认的白名单经常有失误,为了避免这个情况,我们可以手工设置白名单的ip,然后强制不允许修改
 

 代码如下 复制代码
vi /usr/local/ddos/ignore.ip.list
 
手工设置白名单IP
 
 
chattr +i /usr/local/ddos/ignore.ip.list
 
强制不允许修改
 
 
 
chattr -i /usr/local/ddos/ignore.ip.list
 
解除不允许修改
 
 
手工用IPTABLES屏蔽IP:
 
单个IP的命令是
iptables -I INPUT -s 124.115.0.199 -j DROP
 
恢复单个IP:
 
iptables -D INPUT -s 124.115.0.199 -j
DROP
 
 
封IP段的命令是
iptables -I INPUT -s 124.115.0.0/16 -j DROP
iptables -I INPUT -s 124.115.3.0/16 -j DROP
iptables -I INPUT -s 124.115.4.0/16 -j DROP
 
封整个段的命令是
iptables -I INPUT -s 124.115.0.0/8 -j DROP
 
封几个段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
 

首页 1 2 末页

时间: 2024-09-20 09:29:30

linux中利用防火墙配置防SYN DDOS和CC攻击方法(1/2)的相关文章

Linux中iptables防火墙配置指南

一.安装软件 我们购买的VPS,一般都已经预装iptables,可以先检查下iptables状态,确认是否安装. service iptables status若提示为iptables:unrecognized service,则需要安装.yum install iptables   #CentOS系统apt-get install iptables    #Debian系统二.配置规则以下命令我们以CentOS为例,敬请留意.安装好的iptables配置文件在/etc/sysconfig/ip

linux中suse防火墙配置ssh的步骤

最近由于工作需要开始玩SuSe ,由于之前用惯了centos ,在SuSe上使用iptables -nL可以查看到防火墙的配置,确找不到配置文件.而在/etc/init.d下的服务名在SuSe下也变马了SuSEfirewall2_init 和 SuSEfirewall2_setup ,如下: 361way:/ # chkconfig --list |grep -i fire SuSEfirewall2_init        0:off  1:off  2:off  3:on   4:on  

linux中centOS防火墙iptables的设置教程

  1.安装iptables防火墙 怎么知道系统是否安装了iptables?执行iptables -V,如果显示如: iptables v1.3.5 说明已经安装了iptables. 如果没有安装iptables需要先安装,执行: yum install iptables 在Linux中设置防火墙,以CentOS为例,打开iptables的配置文件: vi /etc/sysconfig/iptables   通过/etc/init.d/iptables status命令查询是否有打开80端口,如

Linux中利用两个现存文件,生成一个新的文件

Linux中利用两个现存文件,生成一个新的文件的方法 前提条件:每个文件中不得有重复行 1. 取出两个文件的并集(重复的行只保留一份) cat file1 file2 | sort | uniq 2. 取出两个文件的交集(只留下同时存在于两个文件中的文件) cat file1 file2 | sort | uniq -d 3. 删除交集,留下其他的行 cat file1 file2 | sort | uniq –u

服务器-请问如何在linux中利用springmv提供一个树结构的数据

问题描述 请问如何在linux中利用springmv提供一个树结构的数据 利用该数据完成一个jquery树插件,要求树的数据在服务器端提供缓存功能!

Linux 中清空或删除大文件内容的五种方法_Linux

在 Linux 终端下处理文件时,有时我们想直接清空文件的内容但又不必使用任何Linux命令行编辑器 去打开这些文件.那怎样才能达到这个目的呢?在这篇文章中,我们将介绍几种借助一些实用的命令来清空文件内容的方法. 注意: 由于再Linux中一切皆文件,你需要时刻注意,确保你将要清空的文件不是重要的用户文件或者系统文件.清空重要的系统文件或者配置文件可能会引发严重的应用失败或者系统错误. 提示:在下面的示例中,我们将使用名为 access.log 的文件来作为示例样本. 1. 通过重定向到 Nul

linux中使用iptables缓解DDOS及CC攻击配置

缓解DDOS攻击 #防止SYN攻击,轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT  #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A I

linux中Pure-FTPd 安装配置笔记

下载: 从官方网站下载最新的稳定版本http://www.pureftpd.org/ 其最新版本是1.0.29,下载地址 为:http://download.pureftpd.org/pub/pure-ftpd/releases/pure-ftpd-1.0.29.tar.bz2. 系统环境 CentOS 5.5 PureFTPd 1.0.29 编译安装  代码如下 复制代码 # tar -xvjf pure-ftpd-1.0.29.tar.bz2 # cd pure-ftpd-1.0.29 #

Linux中利用Procmail来反击垃圾邮件

电子邮件是互联网上最重要的通讯手段和工具.从电子邮件诞生的那天起,无聊的垃圾邮件就成为了人们最头疼的问题之一.据说,世界上每年由于垃圾电子邮件给人们带来的损失就高达数亿美元.在Windows操作系统中也许您已经尝够了垃圾邮件给您带来的苦头,让您防不胜防.但是,不要以为在Linux操作系统平台中就能避免垃圾电子邮件给我们带来的骚扰,反击和过虑掉我们不需要的电子邮件就是一件很重要的工作.本文将详细介绍如何利用procmail来对付垃圾邮件. 无用的电子邮件通常会影响我们的网络生活.在Linux操作系