cc攻擊一到就有點(diǎn)兵臨城下的感覺(jué)，正確的設(shè)置防護(hù)規(guī)則可以做到臨危不亂，這里給出一個(gè)iptables對(duì)ip進(jìn)行連接頻率和并發(fā)限制，限制單ip連接和頻率的設(shè)置規(guī)則的介紹，下面我們來(lái)詳細(xì)了解linux抵御

#單個(gè)IP在60秒內(nèi)只允許新建20個(gè)連接,這里假設(shè)web端口就是80

代碼如下:

iptables -I INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 60 –hitcount 20 –name DEFAULT –rsource -j DROP

iptables -I INPUT -i eth1 -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name DEFAULT –rsource

#控制單個(gè)IP的最大并發(fā)連接數(shù)為20

代碼如下:

iptables -I INPUT -p tcp –syn -m connlimit –connlimit-above 20 -j DROP

參數(shù)解釋：

-p協(xié)議

-m module_name：

-m tcp 的意思是使用 tcp 擴(kuò)展模塊的功能 (tcp擴(kuò)展模塊提供了 –dport, –tcp-flags, –sync等功能)

recent模塊：

–name #設(shè)定列表名稱，默認(rèn)DEFAULT。

–rsource #源地址，此為默認(rèn)。

–rdest #目的地址

–seconds #指定時(shí)間內(nèi)

–hitcount #命中次數(shù)

–set #將地址添加進(jìn)列表，并更新信息，包含地址加入的時(shí)間戳。

–rcheck #檢查地址是否在列表，以第一個(gè)匹配開(kāi)始計(jì)算時(shí)間。

–update #和rcheck類似，以最后一個(gè)匹配計(jì)算時(shí)間。

–remove #在列表里刪除相應(yīng)地址，后跟列表名稱及地址

connlimit功能：

connlimit模塊允許你限制每個(gè)客戶端IP的并發(fā)連接數(shù)，即每個(gè)IP同時(shí)連接到一個(gè)

connlimit模塊主要可以限制內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)使用，對(duì)服務(wù)器而言則可以限制每個(gè)IP發(fā)起的連接數(shù)。

–connlimit-above n 　　　＃限制為多少個(gè)

–connlimit-mask n 　　　 ＃這組主機(jī)的掩碼,默認(rèn)是connlimit-mask 32 ,即每個(gè)IP.

當(dāng)然，現(xiàn)在很多

總結(jié)

以上是生活随笔為你收集整理的linux 限制连接时间,linux抵御DDoS攻击方法 通过iptables限制TCP连接和频率的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。