DOS/DDOS攻击的iptables主动防御

最新推荐文章于 2025-05-12 10:47:40 发布
最新推荐文章于 2025-05-12 10:47:40 发布
阅读量6.1k 收藏 6
点赞数 1
分类专栏: 运维
本文介绍如何使用iptables限制HTTP端口的最大连接数及新连接速率,包括限制80端口最大连接数为10的方法,以及利用recent模块实现60秒内超过10个新连接即记录日志并丢弃数据包的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.限制与80端口连接的IP最大连接数为10,可自定义修改。

 代码如下 复制代码

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP


2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。

 代码如下 复制代码

iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix 'DDOS:' --log-ip-options 
#60秒10个新连接,超过记录日志。 
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP 
#60秒10个新连接,超过丢弃数据包。 
iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT 
#范围内允许通过。


上面的相对比较简单,下面我来分析更具体的配置方法。CentOS/Redhat/Fedora

在服务器执行

 代码如下 复制代码
vi /etc/sysconfig/iptables
删除原来的内容输入如下内容 保存
# Generated by iptables-save v1.3.5 on Sun Dec 12 23:55:59 2010
*filter
:INPUT DROP [385263:27864079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4367656:3514692346]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set –name WEB –rsource
-A INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –update –seconds 5 –hitcount 20 –rttl –name WEB –rsource -j DROP
-A INPUT -p tcp -m multiport –ports 21,22,80 -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m ttl –ttl-eq 117 -j DROP
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -m length –length 0:40 -j DROP
-A INPUT -p tcp -m tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP
COMMIT
# Completed on Sun Dec 12 23:55:59 2010

说明此设定仅对外开放21(FTP),22(SSH),80(http网站)三个TCP端口。设置80端口5秒内20个连接

以上技术应用于最优质的水果的鲜果篮

Linux下防御DDOS攻击的操作梳理
qq_40907977的博客
04-16 2128
DDOS介绍 DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。 DDOS攻击的本质是: 利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板。 可以参考下...
iptables防御神器
Joe的博客
10-31 739
iptables 是一款运行在 Linux 内核中的防火墙软件,它允许系统管理员配置内核的 IP 包过滤规则。通过 iptables,可以实现对进出服务器的网络流量进行控制,包括允许、拒绝、转发、重定向等操作,从而增强系统的安全性。
02.iptables攻击防御
bin080808jie的专栏
04-07 1639
DDOS 攻击 分布式拒绝服务(Distributed Denial of service) 多计算机联合发起DOS攻击,造成目标机器资源耗尽、系统过载 DDOS 攻击方式 Ping flood:大量ping包 Ping of Death:修改后的ping包,如造成逻辑错误、加长数据包使其超过IP报文限制 Teardrop attacks:损坏的IP包,如重叠的包或过大的包负荷 UDP Flood:大量udp小包 SYN flood.
使用 IPtables 进行 DDoS 保护
allway2的博客
07-28 3710
有多种方法可以为 iptables 构建自己的反 DDoS 规则。我们将在本综合教程中讨论最有效的 iptables DDoS 保护方法。本指南将教您如何:请注意,本文是为每天与 Linux 服务器打交道的专业人士编写的。如果您只想保护您的在线应用程序免受 DDoS 攻击,您可以使用我们的远程保护、具有 DDoS 保护的 VPS 或受 DDoS 保护的裸机服务器。虽然使用 iptables 可以做很多事情来阻止 DDoS 攻击,但没有办法绕过实际的硬件防火墙(我们最近审查了 RioRey DDoS 缓解硬件
iptables防火墙】 -- DDos防御
最新发布
dformy的博客
05-12 450
文章介绍了如何通过优化内核参数和配置iptables规则来防护DDoS攻击。首先,通过启用TCP SYN Cookies机制、减少SYN-ACK包重试次数和扩大半连接队列容量来增强服务器的抗攻击能力。接着,使用iptables规则限制每秒的SYN请求数量,并将SYNFLOOD子链放在INPUT链的首位,以确保在限制SYN连接数的同时不影响其他规则的生效。文章最后指出,虽然这些措施可以缓解DDoS攻击,但无法完全防御,建议结合其他手段如使用专业防护服务来进一步提升防护效果。
网安技术与应用(4)——配置iptables防御常见攻击
Netceor的博客
04-28 2995
一 实验目的 掌握如何设计防火墙的高级过滤策略以抵御各种类型的攻击。 二 实验内容 防止端口扫描; 防止 ping 攻击; 防止 ip 碎片攻击; 丢弃坏的 TCP包; 防止 SYN攻击。 三 实验原理 参见 网安技术与应用(3)——Linux防火墙iptables的使用 四 实验条件 1、仪器设备条件:PC 及其网络环境; 2、物质条件:Linux(kernel 2.6包含 Iptables); 3、相关文献资料:教学网站所提供的电子文档 五 实验过程 1、默认规则 # 启动防火墙 modprobe
网络安全——IptablesDDoS攻击实验
网络工程
12-12 2755
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
Iptables抵御DDOS
欢迎你来到飞扬博客
06-09 173
Iptables抵御DDOS iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
【网络安全防护】:防御DDoS攻击的终极策略与技术
本文全面探讨了DDoS攻击的本质与防御理论,分析了TCP SYN、UDP和ICMP洪水等类型的DDoS攻击特征及其防御策略。同时,文章深入讨论了防火墙和入侵检测系统、带宽资源的弹性扩展、安全协议的应用等预防技术,并提出了...
TCP_IP视角下的SYN flood攻击:权威剖析与防御秘籍
![SYN flood C源代码](https://docs.paloaltonetworks.com/content/dam/techdocs/en_US/dita/_graphics/10-1/zones/dos_protect3.png) # 摘要 SYN flood攻击是一种常见的拒绝...接着,本文探讨了多种防御策略,从网
《Kali安全渗透高级工程师》主动信息收集-DDOS攻击防御-SYN洪水攻击
君逍遥o
05-09 248
《Kali安全渗透高级工程师》主动信息收集-DDOS攻击防御-SYN洪水攻击
iptables 防范dos攻击
liwei1567的博客
11-12 1067
利用扩展模块limit,我们还可以配置iptables规则,实现DoS攻击防范: iptables -A INPUT -p -tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT --litmit 25/minute 指示每分钟限制最大连接数为25 --litmit-burst 100 指示
Linux Shell脚本联动iptables实现DOS防护
Q先生
08-16 868
解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT 1 实验准备 1.1 攻击服务器环境准备 [root@localhost ~]# yum install hping3 -y 1.2 受攻击服务器环境准备 [13:42:52 root@centos8 ~]#yum install tcpdump httpd -y
使用iptablesddos攻击的问题
fanzhang1990的专栏
07-23 7601
最近要求做一个防ddos攻击
linux 软防火墙 DDOS,Linux iptables防火墙详解 + 配置抗DDOS攻击策略实战
weixin_39633891的博客
05-12 749
inux iptables防火墙详解 + 配置抗DDOS攻击策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptablesipfwadm 和 ipchains 比较老,已成历史版本,本章主要介...
linux软防火墙DDOS,Linux iptables防火墙详解 + 配置抗DDOS***策略实战
weixin_32667011的博客
05-12 711
inux iptables防火墙详解 + 配置抗DDOS***策略实战Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能。在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptablesipfwadm 和 ipchains 比较老,已成历史版本,本章主要介...
经典好用anti-DDosiptables shell脚本
weixin_33878457的博客
09-18 390
#!/bin/bash# Description: This script applies to both RHEL and CentOS systems.This is# a powerful firewall, anti DDOS attacks, and not limitedto this, you can# make your Linux server as ro...
iptables 如何防止 syn ddos ping 攻击
Free雅轩的博客
11-23 323
说明:第一行:每秒中最多允许5个新连接。第二行:防止各种端口扫描。第三行:Ping洪水攻击(Ping of Death),可以根据需要调整或关闭。Ping洪水攻击(Ping of Death)防止同步包洪水(Sync Flood)配置防火墙防止syn,ddos攻击。在iptables中加入下面几行。怎么防止别人ping我?限制对内部封包的发送速度。
Linux安全防火墙(iptables)配置策略
qq_53058639的博客
06-01 2985
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init was not met
03-27
<think>好的,我现在需要解决用户遇到的ConditionFileIsExecutable错误,具体是ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init这个错误。用户提到在运行某些命令时出现了问题,比如引用[2]中的错误信息,提示缺少/etc/init.d/functions文件,以及未找到success和failure命令。同时,引用[3]提到使用minimize安装可能导致问题。我需要逐步分析可能的原因和解决方法。 首先,ConditionFileIsExecutable错误通常与systemd服务单元文件中的条件检查有关。这里用户的条件是检查该文件是否不可执行,但可能实际文件不存在或者权限不正确。根据错误信息,用户可能在执行iptables.init脚本时遇到了依赖问题,比如缺少/etc/init.d/functions文件,这可能是因为系统缺少必要的初始化脚本包,比如initscripts或sysvinit-tools。在最小化安装的系统中,这些包可能未被安装,导致脚本无法找到依赖文件。 接下来,用户提到的未找到success和failure命令,这可能是因为这些函数通常定义在/etc/init.d/functions文件中。如果该文件不存在,脚本中的这些命令就会失败。因此,安装相应的软件包可能解决这个问题。 另外,检查iptables.init文件的权限是否正确,确保该文件具有可执行权限。如果文件存在但权限不足,也会导致条件检查失败。用户需要确认该文件是否存在,如果不存在,可能需要重新安装iptables-services或其他相关软件包。 可能的解决步骤包括:1. 安装缺失的依赖包,如initscripts;2. 检查并修复文件权限;3. 重新安装iptables相关软件包;4. 如果问题仍然存在,可能需要手动创建缺失的文件或调整服务单元文件中的条件检查。 在验证解决方案时,用户应该运行相关命令后检查错误是否消失,并确保服务能够正常启动。此外,用户需要根据系统发行版选择合适的包管理命令,比如yum或dnf,来安装所需的软件包。 最后,需要确保所有步骤符合用户的系统环境,比如CentOS或RHEL版本,以及是否使用了最小化安装。可能需要参考用户提供的引用信息中的路径和错误提示,针对性地解决问题。</think>### 解决 `ConditionFileIsExecutable` 错误的方法 #### 错误背景 当系统中存在 `ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init` 的条件检查时,可能因以下原因触发错误: 1. **文件不存在**:`/usr/libexec/iptables/iptables.init` 文件缺失。 2. **文件权限问题**:文件存在但未设置可执行权限。 3. **依赖缺失**:脚本依赖的组件(如 `/etc/init.d/functions`)未安装[^2][^3]。 --- #### 逐步解决方案 ##### 1. 确认文件存在性 检查文件是否存在: ```bash ls -l /usr/libexec/iptables/iptables.init ``` - **若文件不存在**:重新安装 `iptables-services`: ```bash sudo yum install iptables-services # CentOS/RHEL sudo dnf install iptables-services # Fedora ``` ##### 2. 修复文件权限 若文件存在但不可执行: ```bash sudo chmod +x /usr/libexec/iptables/iptables.init ``` ##### 3. 安装依赖包 最小化安装可能缺少 `/etc/init.d/functions`,需安装 `initscripts`: ```bash sudo yum install initscripts # CentOS/RHEL sudo dnf install initscripts # Fedora ``` ##### 4. 更新服务配置 若错误源自服务单元文件(如 `iptables.service`),注释或删除条件检查: ```systemd # 修改前 ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init # 修改后 # ConditionFileIsExecutable=!/usr/libexec/iptables/iptables.init ``` 重载服务配置: ```bash sudo systemctl daemon-reload ``` ##### 5. 验证服务状态 重启服务并检查是否正常: ```bash sudo systemctl restart iptables sudo systemctl status iptables ``` --- #### 附加说明 - **最小化安装问题**:若系统为最小化安装,建议补充安装基础工具链[^3]。 - **命令兼容性**:旧版脚本可能依赖 `success` 或 `failure` 函数,需确保 `/etc/init.d/functions` 存在[^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值