Linux设置iptables防火墙预防简单的CC攻击
使用服务器之后经常有故意的或者是随机的攻击肯定是有的,比如CC或者DD,我们会采用一些简单的方法,比如配置防火墙来阻止简单的CC攻击。在这篇文章中,我们将用LINUX 服务器作为示范。
如果你的linux内核支持,独立服务器,xen/kvm 的机器,复制执行下面命令,你的web服务器就具备了基本的看CC攻击的能力了。
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_syn_retries=0
iptables -A INPUT -p tcp -m tcp –dport 80 -m connlimit –connlimit-above 20 –connlimit-mask 24 -j DROP
iptables -A INPUT -p tcp -m tcp –dport 80 –tcp-flags FIN,SYN,RST,ACK SYN -m recent –rcheck –seconds 30 –hitcount 20 –name BAD_HTTP_ACCESS –rsource -j LOG –log-prefix “DDOS ATTACK ” –log-ip-options
iptables -A INPUT -p tcp -m tcp –dport 80 -m recent –update –seconds 30 –hitcount 20 –name BAD_HTTP_ACCESS –rsource -j DROP
iptables -A INPUT -p tcp -m tcp –dport 80 -m recent –set –name BAD_HTTP_ACCESS –rsource -j ACCEPT
service iptables save
vi /etc/modprobe.conf
options ipt_recent ip_list_tot=2000 ip_pkt_list_tot=30
modprobe ipt_recent