iptables防cc攻击

我们可以使用 iptables 来在一定程度上实现 黑洞 抗 CC (连接耗尽)攻击的能力,详细配置如下: 1. 系统要求: 1)LINUX 内核版本:2.6.9-42 ELsmp 或 2.6.9-55 ELsmp (其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的) 2)iptables 版本:1.3.7 2. 安装 iptables 1.3.7(http://www.netfilter.org/projects/iptables/files/iptables-1.3.7.tar.bz2) 和跟系统内核版本对应的内核模块 kernel-smp-modules-connlimit(ftp://ftp.pslib.cz/pub/users/Milan.Kerslager/RHEL-4/stable/) 3. 配置相应的 iptables 规则,示例如下: 1) 控制单个 IP 的最大并发连接数 iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT # 允许单个 IP 的最大连接数为 30 2)控制单个 IP 在一定的时间(比如60秒)内允许新建立的连接数 iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT # 单个 IP 在 60 秒内只允许最多新建 30 个连接 4. 验证:1)工具: flood_connect.c (用来模拟攻击) 2)查看效果: 使用 watch 'netstat -an | grep :21 | / grep | wc -l' 实时查看模拟攻击客户机建立起来的连接数, 使用 watch 'iptables -L -n -v | grep ' 查看模拟攻击 客户机被 DROP 的数据包数 5. Good luck ! 注意:为了增强iptables防止 CC 攻击的能力,最好调整一下 ipt_recent 的参数: # cat /etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60 # 记录1000个IP地址,每个地址记录60个数据包 # modprobe ipt_recent cat /etc/sysconfig/iptables # Firewall configuration written by redhat-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # following ports are enabled by Prim@Hosting -A RH-Firewall-1-INPUT -m state --state NEW -p tcp -m tcp --dport 80 --syn -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -p tcp -m tcp --dport 21 --syn -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -p tcp -m tcp --dport 9000:9049 --syn -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -p tcp -m tcp --dport 2001 --syn -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -p tcp -m tcp --dport 3124 --syn -j ACCEPT # end of ports enabled by Prim@Hosting -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值