linux 中使用iptables 防止ddocs及cc攻击配置 。
#防止SYN攻击,轻量级预防
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j
syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j
RETURN
iptables -A syn-flood -j REJECT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j
DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j
ACCEPT
#用Iptables缓解DDOS (参数与上相同)
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j
ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
缓解CC攻击
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,自动屏蔽攻击IP。
1.系统要求
(1)LINUX
内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7
2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit
3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit
--connlimit-above 25 -j REJECT #允许单个IP的最大连接数为25个
#早期iptables模块不包含connlimit,需要自己单独编译加载,
(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update
--seconds 60 --hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m
recent --name BAD_HTTP_ACCESS --set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接
实时查看模拟攻击客户机建立起来的连接数
watch 'netstat -an | grep:21 | grep <攻击IP>| wc -l
查看模拟攻击客户机被 DROP 的数据包数
watch 'iptables -L -n -v | grep <攻击IP>
再补充一篇:配置防火墙防止syn,ddos攻击
[root@m176com ~]# vim /etc/sysconfig/iptables
在iptables中加入下面几行
#anti syn,ddos
-A FORWARD -p tcp --syn -m limit --limit 1/s
--limit-burst 5 -j ACCEPT
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST
-m limit --limit 1/s -j ACCEPT
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
说明:
第一行:每秒中最多允许5个新连接
第二行:防止各种端口扫描
第三行:Ping洪水攻击(Ping of
Death)
可以根据需要调整或关闭
重启防火墙
[root@m176com ~]# /etc/init.d/iptables
restart
屏蔽一个IP
# iptables -I INPUT -s 192.168.0.1 -j DROP
怎么防止别人ping我??
# iptables -A INPUT -p icmp -j DROP
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m
limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
#iptables -A FORWARD
-p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# NMAP FIN/URG/PSH
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
FIN,URG,PSH -j DROP
# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j
DROP
# Another Xmas Tree
# iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
SYN,RST,ACK,FIN,URG -j DROP
# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL
NONE -j DROP
# SYN/RST
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST
-j DROP
# SYN/FIN -- Scan(possibly)
# iptables -A INPUT -i eth0 -p tcp
--tcp-flags SYN,FIN SYN,FIN -j DROP
##限制对内部封包的发送速度
#iptables -A INPUT -f
-m limit --limit 100/s --limit-burst 100 -j ACCEPT
##限制建立联机的转
#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst
100 -j ACCEPT
一个不错的防火墙代码
#####################################################
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec
--limit-burst 200 -j
ACCEPT
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 137 -j DROP
-A INPUT -p tcp -m tcp --dport 1068 -j DROP
-A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j DROP
-A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec
--limit-burst 200
-j ACCEPT
-A FORWARD -p tcp -m tcp --dport 445 -j DROP
-A FORWARD -p udp -m udp --dport 138 -j DROP
-A FORWARD -p udp -m udp --dport 137 -j DROP
-A FORWARD -p tcp -m tcp --dport 1068 -j DROP
-A FORWARD -p tcp -m tcp --dport 5554 -j DROP
-A FORWARD -p icmp -j DROP
:PREROUTING ACCEPT [986908:53126959]
:POSTROUTING ACCEPT [31401:2008714]
:OUTPUT ACCEPT [30070:1952143]
-A POSTROUTING -p tcp -m tcp --dport 445 -j DROP
#####################################################
iptables 防火墙例子
#!/bin/bash
#
# The interface that connect Internet
# echo
echo "Enable IP Forwarding..."
echo 1 >
/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
IFACE="eth0"
# include module
modprobe
ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe
ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe
ip_conntrack_irc
modprobe ipt_MASQUERADE
# init
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z
-t nat
/sbin/iptables -X -t mangle
# drop all
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD
ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P
PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j
ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m
limit --limit 20/sec --
limit-burst 200 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m limit --limit 12/min --limit-burst 2 -j
DROP
/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j
ACCEPT
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN
-m limit --limit 20/sec --
limit-burst 200 -j ACCEPT
# open ports
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j
ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT
# close ports
iptables -I INPUT -p udp --dport 69 -j DROP
iptables -I INPUT -p tcp --dport 135 -j DROP
iptables -I INPUT -p udp
--dport 135 -j DROP
iptables -I INPUT -p tcp --dport 136 -j DROP
iptables -I INPUT -p udp --dport 136 -j DROP
iptables -I INPUT -p tcp
--dport 137 -j DROP
iptables -I INPUT -p udp --dport 137 -j DROP
iptables -I INPUT -p tcp --dport 138 -j DROP
iptables -I INPUT -p udp
--dport 138 -j DROP
iptables -I INPUT -p tcp --dport 139 -j DROP
iptables -I INPUT -p udp --dport 139 -j DROP
iptables -I INPUT -p tcp
--dport 445 -j DROP
iptables -I INPUT -p udp --dport 445 -j DROP
iptables -I INPUT -p tcp --dport 593 -j DROP
iptables -I INPUT -p udp
--dport 593 -j DROP
iptables -I INPUT -p tcp --dport 1068 -j DROP
iptables -I INPUT -p udp --dport 1068 -j DROP
iptables -I INPUT -p tcp
--dport 4444 -j DROP
iptables -I INPUT -p udp --dport 4444 -j DROP
iptables -I INPUT -p tcp --dport 5554 -j DROP
iptables -I INPUT -p tcp
--dport 1434 -j DROP
iptables -I INPUT -p udp --dport 1434 -j DROP
iptables -I INPUT -p tcp --dport 2500 -j DROP
iptables -I INPUT -p tcp
--dport 5800 -j DROP
iptables -I INPUT -p tcp --dport 5900 -j DROP
iptables -I INPUT -p tcp --dport 6346 -j DROP
iptables -I INPUT -p tcp
--dport 6667 -j DROP
iptables -I INPUT -p tcp --dport 9393 -j DROP
iptables -I FORWARD -p udp --dport 69 -j DROP
iptables -I FORWARD -p tcp
--dport 135 -j DROP
iptables -I FORWARD -p udp --dport 135 -j DROP
iptables -I FORWARD -p tcp --dport 136 -j DROP
iptables -I FORWARD -p
udp --dport 136 -j DROP
iptables -I FORWARD -p tcp --dport 137 -j DROP
iptables -I FORWARD -p udp --dport 137 -j DROP
iptables -I FORWARD -p
tcp --dport 138 -j DROP
iptables -I FORWARD -p udp --dport 138 -j DROP
iptables -I FORWARD -p tcp --dport 139 -j DROP
iptables -I FORWARD -p
udp --dport 139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
iptables -I FORWARD -p udp --dport 445 -j DROP
iptables -I FORWARD -p
tcp --dport 593 -j DROP
iptables -I FORWARD -p udp --dport 593 -j DROP
iptables -I FORWARD -p tcp --dport 1068 -j DROP
iptables -I FORWARD -p
udp --dport 1068 -j DROP
iptables -I FORWARD -p tcp --dport 4444 -j DROP
iptables -I FORWARD -p udp --dport 4444 -j DROP
iptables -I FORWARD -p
tcp --dport 5554 -j DROP
iptables -I FORWARD -p tcp --dport 1434 -j DROP
iptables -I FORWARD -p udp --dport 1434 -j DROP
iptables -I FORWARD -p
tcp --dport 2500 -j DROP
iptables -I FORWARD -p tcp --dport 5800 -j DROP
iptables -I FORWARD -p tcp --dport 5900 -j DROP
iptables -I FORWARD -p
tcp --dport 6346 -j DROP
iptables -I FORWARD -p tcp --dport 6667 -j DROP
iptables -I FORWARD -p tcp --dport 9393 -j DROP
/sbin/iptables -A INPUT -i $IFACE -m state --state RELATED,ESTABLISHED -j
ACCEPT
/sbin/iptables -A INPUT -i $IFACE -m state --state NEW,INVALID -j
DROP
# drop ping
/sbin/iptables -A INPUT -p icmp -j DROP
/sbin/iptables -I INPUT -s 222.182.40.241 -j DROP
相关内容
- 2014.12.11Ubuntu中保存iptables防火墙规则的例子
- 2014.11.05linux中shadowsocks使用Iptables随机多端口
- 2014.10.31linux中iptables防火墙劫持并拦截DNS查询53端口实现转向
- 2014.06.21CentOS中iptables防火墙
开放80端口方法 - 2014.05.15Centos中iptables禁止ip段访问网站
- 2014.05.14Centos 6.4
iptables防火墙关闭启动详解 - 2014.05.01shell监控iptables规则是否改变
- 2014.04.20linux中shell命令监控iptables是否运行
- 2014.04.18ubuntu
(linux)iptables防火墙配置详解 - 2014.03.04iptables删除指定某条规则
linux 中使用iptables 防止ddocs及cc攻击配置 。的更多相关文章
- 使用iptables缓解DDOS及CC攻击
使用iptables缓解DDOS及CC攻击 LINUX 追马 7个月前 (02-09) 465浏览 0评论 缓解DDOS攻击 防止SYN攻击,轻量级预防 iptables -N syn-flo ...
- linux中利用iptables+geoip过滤指定IP
1. 前提条件 iptables >= 1.4.5 kernel-devel >= 3.7 2. 安装依赖包 代码如下 复制代码 # yum install gcc gcc-c++ m ...
- [转] Linux下防火墙iptables用法规则详及其防火墙配置
from: http://www.cnblogs.com/yi-meng/p/3213925.html 备注: 排版还不错,建议看以上的链接. iptables规则 规则--顾名思义就是规矩和原则,和 ...
- Linux下防火墙iptables用法规则详及其防火墙配置
转:http://www.linuxidc.com/Linux/2012-08/67952.htm iptables规则 规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规 ...
- iptables防DDOS攻击和CC攻击配置
防范DDOS攻击脚本 #防止SYN攻击 轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables ...
- Linux中的iptables防火墙策略
0x01 简介 iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个" ...
- Linux中使用iptables开放特定端口
禁止其他主机对该特定主机进行访问和远程连接控制,所以只开放特定端口 只控制INPUT链就可达到控制其他主机对该主机的访问. 1.首先关闭INPUT链 iptables -P INPUT DROP 使用 ...
- 关闭Linux中的iptables,firewalld,SELINUX
firewalld 停止firewalld服务 [root@VM_0_13_centos var]# systemctl stop firewalld 或 [root@VM_0_13_centos v ...
- Linux中jdk的安装和环境变量的配置
我安装的linux系统版本是RedHat4 64位,jdk版本为jdk-6u10-linux-i586.bin 1.首先找到安装包的位置->进入此文件夹,此bin格式的文件可用./命令直接进行安 ...
随机推荐
- pat解题报告【1082】
1082. Read Number in Chinese (25) 时间限制 400 ms 内存限制 32000 kB 代码长度限制 16000 B 判题程序 Standard ...
- wox 快速搜索程序
windows启动栏的搜索,会经常找不到exe. 使用wox可以非常快速的找到启动程序 https://github.com/Wox-launcher/Wox/ 安装完成后,默认alt+space出现 ...
- Android+Jquery Mobile学习系列(2)-HTML5/Jquery Mobile基础
本章介绍两个关键字[HTML5]和[Jquery Mobile],简单说这两者的关系是:HTML5作为主体,Jquery Mobile在HTML5的基础上对其进行了优化.装饰. HTML5 HTML5 ...
- XML案例(使用JAXP进行DOM解析)
1.book.xml <?xml version="1.0" encoding="UTF-8" standalone="no"?> ...
- protobuf 编译 java js文件详解
首先下载protobuf.exe 下载地址:https://download.csdn.net/download/qq_34756156/10220137 MessageBody.proto synt ...
- Nmap linux端口扫描神器
#简介 Nmap亦称为Network Mapper(网络映射)是一个开源并且通用的用于Linux系统/网络管理员的工具.nmap用于探查网络.执行安全扫描.网络核查并且在远程机器上找出开放端口.它可以 ...
- 理解list和vector的区别
原文:http://genwoxuevc.blog.51cto.com/1852984/503337 vector和数组类似,它拥有一段连续的内存空间,并且起始地址不变,因此它能非常好的支持随机存取( ...
- 20小时掌握网站开发(免费精品htmlcss视频教程)
自己最近研发了一套新的htmlcss教程,并进行了授课实施,视频教程百度云下载链接如下: 视频及案例源码下载地址 本套教程视频需要安装屏幕录像专家软件才能观看,屏幕录像专家下载地址如下: 屏幕录像专家 ...
- Leetcode0024--Swap Nodes in Pairs 链表配对交换
[转载请注明]http://www.cnblogs.com/igoslly/p/8707274.html 来看一下题目: Given a linked list, swap every two adj ...
- OpenCL C
OpenCL C OpenCL 简介 opencl C是ISO C99的一个扩展,主要区别如下: 去除了C99的一些特性,如:标准C99头文件,函数指针,递归,变长数组,和位域 增加了一些特性用于并 ...