iptables 防範cc攻擊設定

當apache站點受到嚴重的cc攻擊，我們可以用iptables來防止web伺服器被cc攻擊，實現自動遮蔽ip的功能。

1．系統要求

(1)linux 核心版本：2.6.9-42elsmp或2.6.9-55elsmp（其它核心版本需要重新編譯核心，比較麻煩，但是也是可以實現的）。

(2)iptables版本：1.3.7

2. 安裝

安裝iptables1.3.7和系統核心版本對應的核心模組kernel-smp-modules-connlimit

3. 配置相應的iptables規則

示例如下：

(1)控制單個ip的最大併發連線數

iptables -i input -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j reject #允許單個ip的最大連線數為 30

(2)控制單個ip在一定的時間（比如60秒）內允許新建立的連線數

iptables -a input -p tcp --dport 80 -m recent \ --name bad_http_access --update --seconds 60 \ --hitcount 30 -j reject iptables -a input -p tcp --dport 80 -m recent \ --name bad_http_access --set -j accept #單個ip在60秒內只允許最多新建30個連線

4. 驗證

（1）工具：flood_connect.c（用來模擬攻擊)

（2）檢視效果：

使用 watch 'netstat -an | grep:21 | \ grep《模擬攻擊客戶機的ip>| wc -l'

實時檢視模擬攻擊客戶機建立起來的連線數，

使用 watch 'iptables -l -n -v | \grep《模擬攻擊客戶機的ip>'

檢視模擬攻擊客戶機被 drop 的資料報數。

5．注意

為了增強iptables防止cc攻擊的能力，最好調整一下ipt_recent的引數如下：

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60 #記錄1000個ip位址，每個位址記錄60個資料報 #modprobe ipt_recent

當apache站點受到嚴重的cc攻擊，我們可以用iptables來防止web伺服器被cc攻擊，實現自動遮蔽ip的功能。

1．系統要求

(1)linux 核心版本：2.6.9-42elsmp或2.6.9-55elsmp（其它核心版本需要重新編譯核心，比較麻煩，但是也是可以實現的）。

(2)iptables版本：1.3.7

2. 安裝

安裝iptables1.3.7和系統核心版本對應的核心模組kernel-smp-modules-connlimit

3. 配置相應的iptables規則

示例如下：

(1)控制單個ip的最大併發連線數

iptables -i input -p tcp --dport 80 -m connlimit \ --connlimit-above 50 -j reject #允許單個ip的最大連線數為 30

(2)控制單個ip在一定的時間（比如60秒）內允許新建立的連線數

4. 驗證

（1）工具：flood_connect.c（用來模擬攻擊)

（2）檢視效果：

使用 watch 'netstat -an | grep:21 | \ grep《模擬攻擊客戶機的ip>| wc -l'

實時檢視模擬攻擊客戶機建立起來的連線數，

使用 watch 'iptables -l -n -v | \grep《模擬攻擊客戶機的ip>'

檢視模擬攻擊客戶機被 drop 的資料報數。

5．注意

為了增強iptables防止cc攻擊的能力，最好調整一下ipt_recent的引數如下：

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60 #記錄1000個ip位址，每個位址記錄60個資料報 #modprobe ipt_recent

iptables 防範cc攻擊設定

什麼是CC攻擊？怎麼防範CC攻擊？

用 iptables 對抗 CC 攻擊

使用Iptables防止CC攻擊

iptables 防範cc攻擊設定

什麼是CC攻擊？怎麼防範CC攻擊？

用 iptables 對抗 CC 攻擊

使用Iptables防止CC攻擊

相關推薦