防范DDOS***脚本
#防止SYN*** 轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

#用Iptables抵御DDOS (参数与上相同)
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

##########################################################
防范CC***
当apache站点受到严重的cc***,我们可以用iptables来防止web服务器被CC***,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --update --seconds 60 \ --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent \ --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接
4. 验证
(1)工具:flood_connect.c(用来模拟***)
(2)查看效果:
使用
watch 'netstat -an | grep:21 | \ grep<模拟***客户机的IP>| wc -l'
实时查看模拟***客户机建立起来的连接数,
使用
watch 'iptables -L -n -v | \grep<模拟***客户机的IP>'
查看模拟***客户机被 DROP 的数据包数。
5.注意
为了增强iptables防止CC***的能力,最好调整一下ipt_recent的参数如下:
#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60 #记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent

转载于:https://blog.51cto.com/yunfei100/360436

iptables防DDOS***和CC***设置相关推荐

  1. 谈谈中小创业型网站防DDOS及CC,我的草根站长经历。

    做程序员5年,在博客园也潜了N年,我知道,打工不是长计之计.特别是在中国特色下.代码写到35岁以上,很难再有公司招去写代码了.通过身边不少朋友的实践证明,互联网商机无限,缺少的是勇于实践和坚持.更何况 ...

  2. BGP高防IP如何防DDos和cc攻击?原理是什么?

    高防服务器又称为BGP高防ip,无论你的业务在哪里,都可以使用DDos及cc防护.如果业务不在,只需把需要防护的设备绑定高防即可防护,无需任何配置. 一.DDoS攻击原理 是目前互联网中最常见的网络攻 ...

  3. 腾讯云高防服务器 腾讯云BGP高防IP是如何防DDos和cc攻击的?

    腾讯云高防服务器又称为腾讯云BGP高防ip,无论你的业务是否在腾讯云,都可以使用腾讯云提供的DDos及cc防护.如果 业务不在腾讯云,只需把需要防护的设备绑定腾讯云高防即可防护,无需任何配置,更详细功 ...

  4. linux防ddos攻击脚本,Linux IPTables防DDOS攻击Shell脚本

    1.Shell脚本 #!/bin/bash /bin/netstat -na |grep ESTABLISHED |awk '{print $5}' |awk -F : '{print $1}' | ...

  5. linux下防DDOS***软件及使用方法详解

    互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事.在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽. 一 ...

  6. linux下防DDOS攻击软件及使用方法详解

    互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事.在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽. 一 ...

  7. DOS、DDOS、CC等完整解决方案

    看看你的服务的访问日志,在防火墙中加过滤,或者在web服务器中加过滤吧.方法有以下几种. 1.对于特定的IP访问的情况,限制IP访问 2.限制同一IP在单位时间内的访问次数 另一种方法是利用Iptab ...

  8. DDoS***、CC***的***方式和防御方法

    DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",那么什么又是拒绝服务(Denial of Service)呢? ...

  9. apache的防DDOS模块-mod_evasive

    1. mod_evasive 介绍: mod_evasive 是Apache(httpd)服务器的防DDOS的一个模块.对于WEB服务器来说,是目前比较好的一个防护DDOS***的扩展模块.虽然并不能 ...

最新文章

  1. linux高性能网络编程,Linux高性能网络编程的介绍
  2. 【Go语言】LiteIDE使用的个人使用方法
  3. Python进阶:切片的误区与高级用法
  4. [收藏]Linux下update错误 E: Dynamic MMap ran out of room. 解决方法
  5. sed、awk、xargs正则表达式
  6. 网狐棋牌(十) 成也萧何败也肖何? IUnknowEx
  7. Java笔记-使用Kaptcha验证码框架
  8. 微信支付php案例,小程序微信支付php案例
  9. linux然后防止ip欺骗,linux – 如何在iptables中防止ip欺骗?
  10. [WPF]c#调用默认浏览器打开网址
  11. 【转载】20款密码破解工具
  12. Python常用模块库
  13. Gensim库的使用——Word2vec模型(二)训练自己的模型与训练参数
  14. 混沌matlab仿真
  15. java广度优先爬虫示例_广度优先搜索与网络爬虫
  16. 龙泉寺贤超法师:用AI为古籍经书识别、断句、翻译
  17. 根据二磁道数据识别是IC卡还是磁条卡
  18. SOJ 4583 动态规划之分组背包
  19. 2021年互联网大厂Java面经总结,保准看明白!
  20. 凡有所爱,心向往之,且去追寻

热门文章

  1. js实现数据结构及算法之图和图算法(Graphs)
  2. squid缓存服务器
  3. 聊聊jump consistent hash
  4. 购物中心定位分析、调整方案及租金建议
  5. swift基础--变量
  6. 从电影死亡笔记看商业智能在治安领域的应用
  7. 并发编程实战-读书笔记
  8. 监控日志采集的一些TIPS
  9. [转]MySQL innodb buffer pool
  10. Dexposed:Android平台免Root无侵入AOP框架