1.限制与80端口连接的IP最大连接数为10,可自定义修改。
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options #60秒10个新连接,超过记录日志。 iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP #60秒10个新连接,超过丢弃数据包。 iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT #范围内允许通过。
from http://blog.onovps.com/archives/linux-iptables-cc.html
延伸阅读
- DDoS deflate:linux下防DDOS工具
- DDoS表现及如何判断遭受到了DDoS攻击
- 用LINUX系统DDOS攻击WINDOWS
- DDOS攻击监测工具软件DDOS_Monitor下载
- 预防DDOS攻击方法集锦总结
- DDOS攻击四大工具及使用剖析,与DDOS防范措施(图)
- 数据包通过iptables chains的流程
- iptables模块recent使用参考
- iptables中DNAT与SNAT的理解
网站的内容很有用!
不会装iptables的插件!
请问您能写篇debian iptables module 安装过程么?