用iptables来防止web服务器被CC攻击 - java开发指南博客【转载】 - ITeye博客

`

java-mans

浏览: 11414503 次

最近访客更多访客>>

morelily

devcang

serisboy

chjinniu

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

全部博客 (15568)

社区版块

存档分类

2012-08 ( 1467)
2012-07 ( 1872)
2012-06 ( 1125)
更多存档...

最新评论

wahahachuang8：我觉得这种东西自己开发太麻烦了，就别自己捣鼓了，找个第三方，方 ...
WebSocket和node.js
xhpscdx：写的这么详细，全面，对架构师的工作职责，个人能力都进行了梳理。 ...
架构师之路---王泽宾谈架构师的职责
xgbzsc：是http://www.haoservice.com 吗？
android WIFI定位
lehehe： http://www.haoservice.com/docs/ ...
android WIFI定位
lehehe： http://www.haoservice.com/docs/ ...
android WIFI定位

用iptables来防止web服务器被CC攻击

阅读更多

今天在网上又学了一招。

要学会攻防兼备哦。

当apache站点受到严重的cc攻击，我们可以用iptables来防止web服务器被CC攻击，实现自动屏蔽IP的功能。

1．系统要求

(1)LINUX内核版本：2.6.9-42ELsmp或2.6.9-55ELsmp（其它内核版本需要重新编译内核，比较麻烦，但是也是可以实现的）。

(2)iptables版本：1.3.7

2.安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3.配置相应的iptables规则

示例如下：

(1)控制单个IP的最大并发连接数

iptables-IINPUT-ptcp--dport80-mconnlimit\
--connlimit-above50-jREJECT
#允许单个IP的最大连接数为30

(2)控制单个IP在一定的时间（比如60秒）内允许新建立的连接数

iptables-AINPUT-ptcp--dport80-mrecent\
--nameBAD_HTTP_ACCESS--update--seconds60\
--hitcount30-jREJECT
iptables-AINPUT-ptcp--dport80-mrecent\
--nameBAD_HTTP_ACCESS--set-jACCEPT
#单个IP在60秒内只允许最多新建30个连接

4.验证

（1）工具：flood_connect.c（用来模拟攻击)

（2）查看效果：

使用
watch'netstat-an|grep:21|\grep<模拟攻击客户机的IP>|wc-l'

实时查看模拟攻击客户机建立起来的连接数，

使用
watch'iptables-L-n-v|\grep<模拟攻击客户机的IP>'

查看模拟攻击客户机被DROP的数据包数。

5．注意

为了增强iptables防止CC攻击的能力，最好调整一下ipt_recent的参数如下：

#cat/etc/modprobe.conf
optionsipt_recentip_list_tot=1000ip_pkt_list_tot=60
#记录1000个IP地址，每个地址记录60个数据包
#modprobeipt_recent

分享到：

程序员面试100题之十三：数组分割 | 【编程珠玑（续）】第二章关联数组

2012-06-06 15:08
浏览 725
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

iptables及firewalld加固服务器安全思维导图: iptables及firewalld加固服务器安全思维导图

防cc攻击脚本配合iptables: linux上防cc攻击，本脚本配置iptables使用，安装cckiller -i，卸载cckiller -U

linux服务器配置之iptables: linux服务器配置之iptables.exe

iptables-webui:IP 表的 WebUI [WIP]: 一个很好的iptables命令的 webui，用 NodeJS 编写。目前正在进行中。安全此 WebUI 不打算用作一般访问长期运行的 Web 服务器。而是假设以下流程：用户通过 SSH 连接到带有端口转发的远程服务器，例如： ssh ...

kangle web服务器 v3.4.1 稳定版.zip: 智能防cc攻击(CC是http协议的攻击，不是tcp/ip，kangle是底层的web服务器，更懂http)。 .做全能空间(php虚拟主机、java虚拟主机等) 2013-08-21 kangle 3.2.3 *修复linux下ssl超连接数引发崩溃的bug *增加配置...

kangle web服务器开发版 v3.1.8 for win.zip: kangle web服务器( 简称：kangle ) 是一款跨平台、功能强大、安全稳定、易操作的高...智能防cc攻击(CC是http协议的攻击，不是tcp/ip，kangle是底层的web服务器，更懂http)。做全能空间(php虚拟主机、java虚拟主机等)

Linux使用iptables限制多个IP访问你的服务器: iptables是一个管理netfilter的工具。多个连续IP操作 1、拆分成多条命令运行 iptables -A INPUT 192.168.122.2 -j ACCEPT iptables -A INPUT 192.168.122.3 -j ACCEPT iptables -A INPUT 192.168.122.4 -j ACCEPT ...

kangle web服务器 v3.2.1 正式版 for linux.zip: 智能防cc攻击(CC是http协议的攻击，不是tcp/ip，kangle是底层的web服务器，更懂http)。 .做全能空间(php虚拟主机、java虚拟主机等) 更新日志 2013-06-13 kangle 3.2.1 *磁盘缓存非常大时，加快启动时间。 *...

web服务器iptables防火墙设置1: /bin/bash# Set firewall rulesDST="192.168.1.1"# iptables rules:iptables -P INPUT

web服务器iptables配置脚本实现代码: 主要介绍了web服务器iptables配置脚本实现代码的相关资料,需要的朋友可以参考下

iptables配置文档: 详细描述了Linux下iptables的配置

iptables源码iptables源码: iptables源码 iptables工具

iptables详解：图文并茂理解iptables.pdf: iptables 防火墙 linux

使用iptables限制流量请求: 使用iptables限制流量请求，使用iptables限制流量请求，使用iptables限制流量请求

linux防火墙iptables用denyhosts防止黑客入侵.zip: linux iptables用denyhosts防止黑客入侵.zip

阿里云linux服务器上使用iptables设置安全策略的方法: 公司的产品一直运行在云服务器上，从而有幸接触过aws的ec2，盛大的云服务器，最近准备有...由于作为web服务器来使用，所以对外要开放 80 端口，另外肯定要通过ssh进行服务器管理，22 端口也要对外开放，当然最好是把ssh

配置iptables防火墙增强服务器安全: 配置iptables防火墙增强服务器安全，非常不错的，学习学习

iptables建立NATiptables建立NAT: iptables建立NATiptables建立NATiptables建立NATiptables建立NATiptables建立NATiptables建立NAT

实战Nginx：取代Apache的高性能Web服务器中文版: nginx是俄罗斯人igor sysoev编写的一款高性能的http和反向代理服务器。nginx选择了epoll和kqueue作为网络i/o模型，在高连接...本书适合nginx的初学者，以及有一定基础，希望深入掌握nginx的网站架构师和web开发人员。

iptables详细命令: iptables详细命令

Global site tag (gtag.js) - Google Analytics