如何用iptables来防止web服务器被CC攻击

安全 黑客攻防
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。

当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。

1.系统要求

(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。

(2)iptables版本:1.3.7

2. 安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下:

(1)控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit \
--connlimit-above 50 -j REJECT 
#允许单个IP的最大连接数为 30

(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数

iptables -A INPUT -p tcp --dport 80 -m recent \
--name BAD_HTTP_ACCESS --update --seconds 60 \
--hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent \
--name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接

4. 验证

(1)工具:flood_connect.c(用来模拟攻击)

(2)查看效果:

使用

watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'

实时查看模拟攻击客户机建立起来的连接数,

使用

watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'

查看模拟攻击客户机被 DROP 的数据包数。

5.注意

为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:

#cat/etc/modprobe.conf
options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包
#modprobe ipt_recent

【编辑推荐】

  1. 使用iptables建置Linux 防火墙
  2. 专题:DDoS攻击防御与分析
责任编辑:许凤丽 来源: 博客
相关推荐

2011-03-15 16:57:15

2011-03-17 14:07:39

2011-03-17 14:21:35

2013-05-22 15:26:24

2015-09-01 10:33:53

2018-05-04 12:22:47

2009-08-27 10:06:49

2012-05-21 10:16:53

2011-09-20 09:15:11

2010-05-19 16:41:40

2018-09-13 09:22:43

2011-03-16 10:29:17

2021-07-28 14:35:54

区块链服务器DDoS

2012-11-30 14:14:39

2014-07-02 11:20:48

2009-08-14 10:22:50

2013-05-22 15:45:43

2009-09-28 09:22:08

配置服务器未经授权的网络访问

2018-02-27 11:08:11

2018-03-20 14:24:10

Web服务器HTTP
点赞
收藏

51CTO技术栈公众号