Ubuntu上使用iptables + ipset 联合进行ip封禁

最新推荐文章于 2023-04-29 09:28:44 发布
最新推荐文章于 2023-04-29 09:28:44 发布
阅读量7.5k 收藏 1
点赞数 1
分类专栏: 爬虫 网络 网站环境 系统命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chijiaodaxie/article/details/80083962
版权
本文介绍了在Ubuntu上如何利用iptables和ipset来应对DoS攻击,通过ipset将O(n)的封禁操作优化为O(1),并提供了封禁策略的三个步骤:启用封禁规则、检测恶意IP、将坏IP添加到封禁规则。文章还提到了规则持久化和自动化IP检测的重要性。
摘要由CSDN通过智能技术生成
  1. 爬虫很烦人,dos攻击更烦人,今天公司一个裸站被dos攻击了,简单记录一下;
  2. iptables是Linux上常用的防火墙软件,使用 iptables 封 IP,是一种比较简单的应对网络攻击的方式,也算是比较常见,但其使用链表作为数据结构,效率很低,复杂度都是O(n);
  3. ipset 提供了把这个 O(n) 的操作变成 O(1) 的方法:就是把要处理的 IP 放进一个集合,对这个集合设置一条 iptables 规则。像 iptable 一样,IP sets 是 Linux 内核中的东西,ipset 这个命令是对它进行操作的一个工具。

所以封禁策略分三步:iptables启用封禁规则,检测坏IP,添加坏IP到封禁规则中
可以用这几条命令概括使用 ipset 和 iptables 进行 IP 封禁的流程
ipset create ipban hash:ip iptables -I INPUT -m set --match-set ipban src -j DROP ipset add ipban 4.5.6.7 ipset add ipban 1.2.3.4 ipset add ipban ... ipset list ipban # 查看 ipban 集合的内容
规则可以实现建立好(注意iptables和ipset都是存内存数据,重启失效,可以持久化,如果规则不复杂可以开机时运行启动脚本加入规则);
ip检测需要自动化
整个防dos功能就做好了

主要记录一下命令:
iptables
查看:iptables -L -n -v --line-numbers

最低0.47元/天 解锁文章
tianxingzheaa
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Openwrt上使用dnsmasq和ipset实现域名分流
weixin_34267123的博客
05-02 4446
目标 部署一台自动代理路由器,实现根据域名来自动设定直连或者代理,而我要做的只是设置PC的默认网关为主路由器(192.168.0.1)还是自动代理路由器(192.168.0.254)。 创建Openwrt虚拟机 系统版本 主路由器 (ip: 192.168.0.1) ESXI 6.0U2 Openwrt 15.05.1 (ip: 192.168.0.254,gateway: 192.168.0....
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
ipset+iptables封禁以及自动解封IP
qq_23587541的博客
11-10 2520
iptables封掉少量ip处理是没什么问题的,但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址放入这个集合中,ipset 是O(1)的性能,用的hash方式所以特别快。ipset的一个优势是集合可以动态的修改,即使ipsetiptables规则目前已经启动,新加的入ipsetip也生效。 一、软件及安装     1...
Ubuntu 设置只允许国内的 IP 访问
Kuang Da's Blog
11-24 1383
Ubuntu 设置只允许国内的 IP 访问
iptables + ipset + crontab 进行ssh登录爆破拦截
255.255.255.0
12-30 434
公网服务器常常被暴力破解,零成本减少和防止爆破风险
iptablesipset配合使用
to_be_better_wen的博客
10-23 3860
iptables ipset配合使用
iptables ipset详解
zhangjikuan的专栏
05-29 1万+
iptables iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] -t 表名 可以省略,指定规则存放在哪个表中,默认为filter表 用于存放相同功能的规则 filter表: 负责过滤功能能, nat表: 网络地址转换功能 mangle表: 拆解报文 做出修改并重新封装的功能 raw表: 关闭nat表上启用的连接追踪机制 命令选项 -A 在...
ubuntu限制远程登录
weixin_33738555的博客
07-11 479
1.最近完善了下阿里云监控,不得不说阿里云监控很强大。2.今天上监控看了下,看到云盾上有国外一台服务器在进行暴力破解服务器。于是乎就点单的做了下限制。主要是通过/etc/hosts.allow和/etc/hosts.deny。其实很简单,这里主要是说下这两个配置文件。3.这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问,ssh就是tcp...
ubuntu安装ipset准确姿势
thinker
01-15 3224
ipset package in Ubuntu ipset: administration tool for kernel IP sets ipset-dbgsym: debug symbols for ipset libipset-dev: development files for IP sets libipset13: library for IP sets libipset13-dbgs...
ipset配置linux防火墙
04-09
使用ipset定义IP网段范围,不出iptables对网段范围控制不足之处。
ipsetiptables防火墙,需要的老板拿去!
最新发布
05-10
ipset-master,
linux中ipset命令的使用方法详解
01-11
ipsetiptables的扩展,它允许你创建 匹配整个地址sets(地址集合) 的规则。而不像普通的iptables链是线性的存储和过滤,ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找. 除了一些...
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct...
ssh访问控制,多次失败登录即封掉IP,防止暴力破解
Alves的博客
06-04 2万+
一直发现站内的流量和IP不太正常,读取/var/log/secure 很多失败的登录信息!必须要整个方法整死他们,虽然我已经把ssh port修改为了XXX(能告诉你吗?)!但是攻击还是不断,随即请教了铭哥大神。由于担心没有测试机,直接线上操作把自己也加入black list就不好了。找了很多资料,最终也成功了。分享给大家!一、系统:Centos6.9 64位二、方法:读取/var/log/sec...
互联网服务器使用ipsetiptables禁止国外IP访问
qq_38344855的博客
11-02 2355
互联网服务器禁止国外IP访问 项目上服务器在互联网环境,开放了数据库3306端口,没几天就发现被 搞了,需要支付比特币? 幸运的是测试环境,没有生产数据。查了日志发现是 个国外IP搞的,于是就看了很多文章,确定了用ipsetiptables的白名单控制 input。 基本思路就是先创建IPSET国内IP地址表,之后防火墙阻断掉表内没有地址 的请求。 1. IPSET yum install ipset // 安装ipset ipset create china hash:net hash
nginx+iptables+ipset 封禁频繁访问web服务的恶意IP
AmbroseLe
04-29 1323
ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。~]# ipset del ipsetname 地址。用crontab定时启动脚本。
ipset详解
热门推荐
一二三四吾
12-19 3万+
ipset介绍 ipsetiptables的扩展,它允许你创建 匹配整个地址集合的规则。而不像普通的iptables链只能单IP匹配, ip集合存储在带索引的数据结构中,这种结构即时集合比较大也可以进行高效的查找,除了一些常用的情况,比如阻止一些危险主机访问本机,从而减少系统资源占用或网络拥塞,IPsets也具备一些新防火墙设计方法,并简化了配置.官网:http://ipset.netfilte
dnsmasq国内外域名分流系统搭建
weixin_43219672的博客
11-22 4838
构建国内外域名分流系统,所有域名首先都发送到dnsmasq通道,如果是国内域名,dnsmasq调用上层国内DNS服务器返回国内域名所对应的IP,达到高速解析的效果。如果dnsmasq发现是国外域名,则放弃解析,转交给dnscrypt,通过加密通道访问其部署在全球的可靠的DNS服务器,返回没有污染的、真实的IP
使用iptablesubuntu服务器禁止某个ip对服务器进行ssh连接
04-13
您可以使用以下命令来使用iptables禁止某个IPUbuntu服务器进行SSH连接: ``` sudo iptables -I INPUT -s [IP ADDRESS] -p tcp --dport ssh -j DROP ``` 其中,[IP ADDRESS]是您想要禁止的IP地址。这将禁止该IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值