Linux iptables防火墙详解 配置抗DDOS攻击策略实战
| {TXpre})) if [[ $RX -lt 1024 ]];then RX="${RX}B/s" elif [[ $RX -gt 1048576 ]];then RX=$(echo $RX | awk ''{print $1/1048576 "MB/s"}'') else RX=$(echo $RX | awk ''{print $1/1024 "KB/s"}'') fi if [[ $TX -lt 1024 ]];then TX="${TX}B/s" elif [[ $TX -gt 1048576 ]];then TX=$(echo $TX | awk ''{print $1/1048576 "MB/s"}'') else TX=$(echo $TX | awk ''{print $1/1024 "KB/s"}'') fi
echo -e "$eth t $RX $TX " done
查看网卡的流量时 rx是接收(receive) tx是发送(transport)
测试在另外台虚机上尝试用软件不停的访问本机站点,流量提升
假如你认为这流量已是不正常流量,可以用以下命令查看有哪些IP在连接本机80端口,然后进行屏蔽! netstat -ant | grep ":80" | awk ''{printf "%s %sn",$5,$6}'' | sort
假如你认为0.201IP有可疑,想进行屏蔽,用以下命令 屏蔽流进ip iptables -I INPUT -s 172.16.0.201 -j DROP 解封屏蔽
只屏蔽172.16.0 IP段访问本机80端口,其他端口可以正常,命令如下:
解封屏蔽
测试:用172.16.0.2尝试访问服务80端口
在添加的规则时,REJECT(拒绝)目标和 DROP(放弃)目标这两种行动有所不同.REJECT 会拒绝目标分组的进入,并给企图连接服务的用户返回一个 connection refused 的错误消息.DROP 会放弃分组,而对 telnet 用户不发出任何警告.
三、抗DDOS攻击完整策略与讲解 默认的iptables规则是无法过滤DDOS攻击数据的,我们需要添加过滤规则实现iptables拥有抗DDOS的能力 以下防火墙规则是本人真实linux 邮局服务器上的防火墙规则,曾受过100M的SYN DDOS流量攻击,本人服务器国际带宽只有20M, 系统:Centos 5.5 以上iptable 配置规则讲解:
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
