So verteidigen Sie sich mit iptables gegen SYN-DDoS- und Ping-Angriffe

Konfigurieren Sie die Firewall, um Syn- und DDoS-Angriffe zu verhindern

 [root@m176com ~]# vim /etc/sysconfig/iptables
 在iptables中加入下面几行
 #anti syn，ddos
 -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
 -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
 -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Hinweis: Erste Zeile: Erlauben Sie bis zu 5 neue Verbindungen pro Sekunde. Zweite Zeile: Verhindern Sie verschiedene Port-Scans. Die dritte Zeile: Ping-Flood-Angriff (Ping of Death), der je nach Bedarf angepasst oder ausgeschaltet werden kann

Starten Sie die Firewall neu

 [root@m176com ~]# /etc/init.d/iptables restart

Eine IP blockieren

 # iptables -I INPUT -s 192.168.0.1 -j DROP

Wie kann ich verhindern, dass andere mich anpingen? ?

# iptables -A INPUT -p icmp -j DROP

Synchronisierungsflut verhindern

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Verhindern Sie verschiedene Port-Scans

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping-Flutangriff (Ping of Death)

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

NMAP FIN/URG/PSH
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
 
Xmas Tree
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP
 
Another Xmas Tree
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
 
Null Scan(possibly)
 iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP
 
SYN/RST
 # iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
 
SYN/FIN -- Scan(possibly)
# iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

Begrenzen Sie die Sendegeschwindigkeit interner Pakete

 #iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT   

Übertragungen beim Verbindungsaufbau einschränken

 #iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

Das obige ist der detaillierte Inhalt vonSo verteidigen Sie sich mit iptables gegen SYN-DDoS- und Ping-Angriffe. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!