利用iptables来缓解和预防DDOS及CC攻击

  iptables防ddos方法实例缓解DDOS攻击#防止SYN攻击，轻量级预防iptables-Nsyn-floodiptables-AINPUT-ptcp–syn-jsyn-floodiptables-Isyn-flood-ptcp-mlimit–limit3/s–limit-burst6-jRETURNiptables-Asyn-flood-jREJECT#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃iptables-AINPUT-ieth0-ptcp–syn-mconnlimit–connlimit-above15-jDROPiptables-AINPUT-ptcp-mstate–stateESTABLISHED,RELATED-jACCEPT#用Iptables缓解DDOS(参数与上相同)iptables-AINPUT-ptcp–syn-mlimit–limit12/s–limit-burst24-jACCEPTiptables-AFORWARD-ptcp–syn-mlimit–limit1/s-jACCEPT缓解CC攻击当apache站点受到严重的cc攻击，我们可以用iptables来防止web服务器被CC攻击，自动屏蔽攻击IP1．要求(1)LINUX内核版本：2.6.9-42ELsmp或2.6.9-55ELsmp（其它内核版本需要重新编译内核，比较麻烦，但是也是可以实现的）(2)iptables版本：1.3.72.安装安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit3.配置相应的iptables规则示例如下：(1)控制单个IP的最大并发连接数iptables-IINPUT-ptcp–dport80-mconnlimit–connlimit-above25-jREJECT#允许单个IP的最大连接数为25个#早期iptables模块不包含connlimit,需要自己单独编译加载，请参考该地址http://sookk8.blog.51cto.com/455855/280372不编译内核加载connlimit模块(2)控制单个IP在一定的时间（比如60秒）内允许新建立的连接数iptables-AINPUT-ptcp–dport80-mrecent–nameBAD_HTTP_–update–seconds60–hitcount30-jREJECTiptables-AINPUT-ptcp–dport80-mrecent–nameBAD_HTTP_ACCESS–set-jACCEPT#单个IP在60秒内只允许最多新建30个连接实时查看模拟攻击客户机建立起来的连接数watch‘netstat-angrep:21grep<攻击IP>wc-l查看模拟攻击客户机被DROP的数据包数watch‘iptables-L-n-vgrep<攻击IP>