返回列表 发新帖

[网络管理] 防御CC攻击

[复制链接]
发表在  2014-7-8 11:17:59  | 显示全部楼层 | 阅读模式
天信网络在此具体讲解下实现方式:
首先 开启iptables
service iptables start
此指令仅能一次性开启防火墙,重启后复原

开启防火墙后
配置防火墙的配置文件/etc/sysconfig/iptables

首先配置不被防火墙拦截的端口
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables  -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

此处为默认22端口和80端口访问为放行

22为SSH默认连接端口 80为WEB端口

然后 对于80端口的访问设置单个IP最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 50 -j REJECT

此处设置单个IP的最大并发访问连接数为50 超出50个连接数被自动屏蔽


另外
设置单个IP在规定时间区间内的最大新建连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount

30 -j REJECT

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

此处设置的单个IP在60秒周期内最大新建30个连接 超出数量后被自动拒绝


在完成配置后 对iptables防火墙配置进行保存并重启防火墙
service iptables save
service iptables restart

完成所有操作后 将防火墙设置为永久性开启

chkconfig iptables on


如果在配置中发生错误请安装内核程序
kernel-smp-modules-connlimit

更多问题可登陆天信网络官方网站咨询,咨询网址:www.txnet365.com

发表回复

您需要登录后才可以回帖 登录 | 马上加入

本版积分规则